Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Comprendere i controlli di sicurezza in Security Hub CSPM
In AWS Security Hub CSPM, un *controllo di sicurezza*, noto anche come *controllo*, è una protezione all'interno di uno standard di sicurezza che aiuta un'organizzazione a proteggere la riservatezza, l'integrità e la disponibilità delle proprie informazioni. In Security Hub CSPM, un controllo è correlato a una risorsa specifica AWS .
Quando abiliti un controllo in uno o più standard, Security Hub CSPM inizia a eseguire controlli di sicurezza su di esso. I controlli di sicurezza generano risultati CSPM di Security Hub. Quando si disabilita un controllo, Security Hub CSPM interrompe l'esecuzione dei controlli di sicurezza su di esso e i risultati non vengono più generati.
È possibile abilitare o disabilitare i controlli singolarmente per un singolo account e. Regione AWS Per risparmiare tempo e ridurre le variazioni di configurazione in ambienti con più account, consigliamo di utilizzare la [configurazione centralizzata](central-configuration-intro.md) per abilitare o disabilitare i controlli. Con la configurazione centralizzata, l'amministratore delegato di Security Hub CSPM può creare politiche che specificano come deve essere configurato un controllo su più account e regioni. Per ulteriori informazioni sull'attivazione e la disabilitazione dei controlli, consulta. [Abilitazione dei controlli in Security Hub CSPM](securityhub-standards-enable-disable-controls.md)
## Visualizzazione consolidata dei controlli
La pagina **Controlli** della console CSPM di Security Hub mostra tutti i controlli disponibili nella versione corrente Regione AWS (è possibile visualizzare i controlli nel contesto di uno standard visitando la pagina Standard di **sicurezza** e scegliendo uno standard abilitato). Security Hub CSPM assegna ai controlli un ID, un titolo e una descrizione di controllo di sicurezza coerenti tra gli standard. I controlli IDs includono il numero pertinente Servizio AWS e un numero univoco (ad esempio, CodeBuild .3).
Le seguenti informazioni sono disponibili nella pagina **Controlli** della console [CSPM di Security Hub](https://console.aws.amazon.com/securityhub/):
+ Un punteggio di sicurezza complessivo basato sulla percentuale di controlli approvati rispetto al numero totale di controlli abilitati con dati
+ Suddivisione degli stati di controllo tra tutti i controlli CSPM di Security Hub supportati
+ Il numero totale di controlli di sicurezza superati e non riusciti.
+ Il numero di controlli di sicurezza non riusciti per controlli di diversa gravità e collegamenti per visualizzare ulteriori dettagli su tali controlli non riusciti.
+ Un elenco di controlli CSPM di Security Hub, con filtri per visualizzare sottoinsiemi specifici di controlli.
Dalla pagina **Controlli**, puoi scegliere un controllo per visualizzarne i dettagli e intervenire sui risultati generati dal controllo. Da questa pagina, puoi anche abilitare o disabilitare un controllo di sicurezza nel tuo sistema attuale Account AWS e Regione AWS. Le azioni di attivazione e disabilitazione della pagina **Controlli si applicano a tutti gli standard**. Per ulteriori informazioni, consulta [Abilitazione dei controlli in Security Hub CSPM](securityhub-standards-enable-disable-controls.md).
Per gli account amministratore, la pagina **Controlli** riflette lo stato dei controlli negli account dei membri. Se un controllo di controllo fallisce in almeno un account membro, lo stato del controllo è **Non riuscito**. Se hai impostato una [regione di aggregazione](finding-aggregation.md), la pagina **Controlli** riflette lo stato dei controlli in tutte le regioni collegate. Se un controllo di controllo ha esito negativo in almeno una regione collegata, lo stato del controllo è **Fallito**.
La visualizzazione dei controlli consolidati causa modifiche ai campi di ricerca dei controlli nel AWS Security Finding Format (ASFF) che possono influire sui flussi di lavoro. Per ulteriori informazioni, consulta [Visualizzazione consolidata dei controlli: modifiche ASFF](asff-changes-consolidation.md#securityhub-findings-format-consolidated-controls-view).
## Riepilogo del punteggio di sicurezza per i controlli
La pagina **Controlli** mostra un punteggio di sicurezza riassuntivo compreso tra 0 e 100 percento. Il punteggio di sicurezza riepilogativo viene calcolato in base alla percentuale di controlli approvati rispetto al numero totale di controlli abilitati con dati diversi standard.
**Nota**
Per visualizzare il punteggio di sicurezza complessivo per i controlli, devi aggiungere l'autorizzazione alla chiamata **`BatchGetControlEvaluations`**al ruolo IAM che utilizzi per accedere al CSPM di Security Hub. Questa autorizzazione non è necessaria per visualizzare i punteggi di sicurezza per standard specifici.
Quando abiliti Security Hub CSPM, Security Hub CSPM calcola il punteggio di sicurezza iniziale entro 30 minuti dalla prima visita alla pagina di **riepilogo** o alla pagina **degli standard di sicurezza** sulla console CSPM di Security Hub. La generazione dei punteggi di sicurezza per la prima volta nelle regioni della Cina e AWS GovCloud (US) Regions può richiedere fino a 24 ore.
Oltre al punteggio di sicurezza complessivo, Security Hub CSPM calcola un punteggio di sicurezza standard per ogni standard abilitato entro 30 minuti dalla prima visita alla pagina di **riepilogo** o alla pagina degli standard **di sicurezza**. Per visualizzare un elenco degli standard attualmente abilitati, utilizza l'[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html)operazione API.
AWS Config deve essere abilitato alla registrazione delle risorse affinché gli spartiti appaiano. Per informazioni su come Security Hub CSPM calcola i punteggi di sicurezza, vedere. [Calcolo dei punteggi di sicurezza](standards-security-score.md)
Dopo la prima generazione di punteggi, Security Hub CSPM aggiorna i punteggi di sicurezza ogni 24 ore. Security Hub CSPM visualizza un timestamp per indicare quando un punteggio di sicurezza è stato aggiornato l'ultima volta.
Se è stata impostata una regione di aggregazione, il punteggio di sicurezza complessivo riflette i risultati del controllo nelle regioni collegate.
# Riferimento di controllo per Security Hub CSPM
Questo riferimento di controllo fornisce una tabella dei controlli CSPM di AWS Security Hub disponibili con collegamenti a ulteriori informazioni su ciascun controllo. Nella tabella, i controlli sono elencati in ordine alfabetico in base all'ID del controllo. Qui sono inclusi solo i controlli in uso attivo da Security Hub CSPM. I controlli ritirati sono esclusi dalla tabella.
La tabella fornisce le seguenti informazioni per ogni controllo:
+ **ID del controllo di sicurezza**: questo ID si applica a tutti gli standard Servizio AWS e indica la risorsa e a cui si riferisce il controllo. La console Security Hub CSPM mostra il controllo di sicurezza IDs, indipendentemente dal fatto che i [risultati del controllo consolidato](controls-findings-create-update.md#consolidated-control-findings) siano attivati o disattivati nel tuo account. Tuttavia, i risultati del CSPM di Security Hub fanno riferimento al controllo di sicurezza IDs solo se i risultati del controllo consolidato sono attivati nel tuo account. Se i risultati del controllo consolidato sono disattivati nel tuo account, alcuni controlli IDs variano in base allo standard dei risultati di controllo. Per una mappatura del controllo specifico dello standard IDs al controllo della sicurezza, consulta. IDs [In che modo il consolidamento influisce sul controllo e sui titoli IDs](asff-changes-consolidation.md#securityhub-findings-format-changes-ids-titles)
Se desideri configurare [le automazioni](automations.md) per i controlli di sicurezza, ti consigliamo di filtrare in base all'ID del controllo anziché al titolo o alla descrizione. Sebbene Security Hub CSPM possa occasionalmente aggiornare i titoli o le descrizioni dei controlli, il controllo IDs rimane lo stesso.
Il controllo IDs può saltare i numeri. Si tratta di segnaposti per controlli futuri.
+ **Titolo del controllo di sicurezza: questo titolo** si applica a tutti gli standard. La console Security Hub CSPM mostra i titoli dei controlli di sicurezza, indipendentemente dal fatto che i risultati del controllo consolidato siano attivati o disattivati nel tuo account. Tuttavia, i risultati del CSPM di Security Hub fanno riferimento ai titoli di controllo di sicurezza solo se i risultati del controllo consolidato sono attivati nel tuo account. Se i risultati del controllo consolidato sono disattivati nel tuo account, alcuni titoli di controllo variano in base allo standard dei risultati di controllo. Per una mappatura del controllo specifico dello standard IDs al controllo di sicurezza, consulta. IDs [In che modo il consolidamento influisce sul controllo e sui titoli IDs](asff-changes-consolidation.md#securityhub-findings-format-changes-ids-titles)
+ **Standard applicabili**: indica a quali standard si applica un controllo. Scegli un controllo per esaminare i requisiti specifici dei framework di conformità di terze parti.
+ **Severità**: la severità di un controllo ne identifica l'importanza dal punto di vista della sicurezza. Per informazioni su come Security Hub CSPM determina la gravità del controllo, vedere. [Livelli di gravità per i risultati del controllo](controls-findings-create-update.md#control-findings-severity)
+ **Supporta parametri personalizzati**: indica se il controllo supporta valori personalizzati per uno o più parametri. Scegliete un controllo per esaminare i dettagli dei parametri. Per ulteriori informazioni, consulta [Comprensione dei parametri di controllo in Security Hub CSPM](custom-control-parameters.md).
+ **Tipo di pianificazione**: indica quando il controllo viene valutato. Per ulteriori informazioni, consulta [Pianificazione dell'esecuzione dei controlli di sicurezza](securityhub-standards-schedule.md).
Scegli un controllo per esaminare ulteriori dettagli. I controlli sono elencati in ordine alfabetico in base all'ID del controllo di sicurezza.
| ID del controllo di sicurezza | Titolo del controllo di sicurezza | Standard applicabili | Gravità | Supporta parametri personalizzati | Tipo di pianificazione |
| --- | --- | --- | --- | --- | --- |
| [Account.1](account-controls.md#account-1) | Le informazioni di contatto relative alla sicurezza devono essere fornite per un Account AWS | Benchmark CIS AWS Foundations v5.0.0, CIS AWS Foundations Benchmark v3.0.0, Buone pratiche di AWS sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [Conto.2](account-controls.md#account-2) | Account AWS dovrebbe far parte di un'organizzazione AWS Organizations | NIST SP 800-53 Rev. 5 | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [ACM.1](acm-controls.md#acm-1) | I certificati importati ed emessi da ACM devono essere rinnovati dopo un determinato periodo di tempo | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata e periodica |
| [ACM.2](acm-controls.md#acm-2) | I certificati RSA gestiti da ACM devono utilizzare una lunghezza di chiave di almeno 2.048 bit | AWS Best practice di sicurezza di base v1.0.0, PCI DSS v4.0.1 | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [ACM.3](acm-controls.md#acm-3) | I certificati ACM devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [Amplifica.1](amplify-controls.md#amplify-1) | Le app Amplify devono essere taggate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [Amplifica.2](amplify-controls.md#amplify-2) | I rami Amplify devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [APIGateway1](apigateway-controls.md#apigateway-1). | API Gateway REST e la registrazione dell'esecuzione delle WebSocket API devono essere abilitati | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [APIGateway2.](apigateway-controls.md#apigateway-2) | Le fasi dell'API REST di API Gateway devono essere configurate per utilizzare i certificati SSL per l'autenticazione del backend. | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [APIGateway3.](apigateway-controls.md#apigateway-3) | Le fasi dell'API REST di API Gateway devono avere AWS X-Ray la traccia abilitata | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | BASSO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [APIGateway4.](apigateway-controls.md#apigateway-4) | API Gateway deve essere associato a un ACL Web WAF | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [APIGateway5.](apigateway-controls.md#apigateway-5) | I dati della cache dell'API REST di API Gateway devono essere crittografati quando sono inattivi | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [APIGateway8.](apigateway-controls.md#apigateway-8) | Le rotte API Gateway devono specificare un tipo di autorizzazione | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Periodic (Periodico) |
| [APIGateway9.](apigateway-controls.md#apigateway-9) | La registrazione degli accessi deve essere configurata per API Gateway V2 Stages | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [APIGateway.10](apigateway-controls.md#apigateway-10) | Le integrazioni API Gateway V2 devono utilizzare HTTPS per le connessioni private | AWS Best practice di sicurezza di base v1.0.0 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [AppConfig1](appconfig-controls.md#appconfig-1). | AWS AppConfig le applicazioni devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [AppConfig2.](appconfig-controls.md#appconfig-2) | AWS AppConfig i profili di configurazione devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [AppConfig3.](appconfig-controls.md#appconfig-3) | AWS AppConfig gli ambienti devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [AppConfig4.](appconfig-controls.md#appconfig-4) | AWS AppConfig le associazioni di estensione devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [AppFlow1](appflow-controls.md#appflow-1). | AppFlow I flussi Amazon devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [AppRunner1](apprunner-controls.md#apprunner-1). | I servizi App Runner devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [AppRunner2.](apprunner-controls.md#apprunner-2) | I connettori VPC App Runner devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [AppSync2.](appsync-controls.md#appsync-2) | AWS AppSync dovrebbe avere la registrazione a livello di campo abilitata | AWS Best practice di sicurezza di base v1.0.0, PCI DSS v4.0.1 | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [AppSync4.](appsync-controls.md#appsync-4) | AWS AppSync GraphQL APIs dovrebbe essere taggato | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [AppSync5.](appsync-controls.md#appsync-5) | AWS AppSync GraphQL non APIs deve essere autenticato con chiavi API | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [Atena.2](athena-controls.md#athena-2) | I cataloghi di dati Athena devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [Atena.3](athena-controls.md#athena-3) | I gruppi di lavoro Athena devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [Atena.4](athena-controls.md#athena-4) | I gruppi di lavoro Athena devono avere la registrazione abilitata | AWS Migliori pratiche di sicurezza di base | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [AutoScaling1](autoscaling-controls.md#autoscaling-1). | I gruppi di Auto Scaling associati a un sistema di bilanciamento del carico devono utilizzare i controlli di integrità ELB | AWS Best practice di sicurezza di base, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | BASSO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [AutoScaling2.](autoscaling-controls.md#autoscaling-2) | Il gruppo Amazon EC2 Auto Scaling dovrebbe coprire più zone di disponibilità | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [AutoScaling3.](autoscaling-controls.md#autoscaling-3) | Le configurazioni di avvio del gruppo Auto Scaling devono configurare le istanze EC2 in modo che richiedano Instance Metadata Service versione 2 () IMDSv2 | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [Autoscaling.5](autoscaling-controls.md#autoscaling-5) | Le istanze Amazon EC2 avviate utilizzando le configurazioni di avvio del gruppo Auto Scaling non devono avere indirizzi IP pubblici | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [AutoScaling6.](autoscaling-controls.md#autoscaling-6) | I gruppi di Auto Scaling devono utilizzare più tipi di istanze in più zone di disponibilità | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [AutoScaling9.](autoscaling-controls.md#autoscaling-9) | I gruppi di Auto Scaling di EC2 devono utilizzare i modelli di avvio EC2 | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [AutoScaling.10](autoscaling-controls.md#autoscaling-10) | I gruppi EC2 Auto Scaling devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [Backup.1](backup-controls.md#backup-1) | AWS Backup i punti di ripristino devono essere crittografati quando sono inattivi | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [Backup.2](backup-controls.md#backup-2) | AWS Backup i punti di ripristino devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [Backup.3](backup-controls.md#backup-3) | AWS Backup le casseforti devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [Backup.4](backup-controls.md#backup-4) | AWS Backup i piani di rapporto devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [Backup.5](backup-controls.md#backup-5) | AWS Backup i piani di backup devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [Lotto.1](batch-controls.md#batch-1) | Le code di lavori in batch devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [Lotto.2](batch-controls.md#batch-2) | Le politiche di pianificazione dei batch devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [Lotto.3](batch-controls.md#batch-3) | Gli ambienti di elaborazione in batch devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [Lotto.4](batch-controls.md#batch-4) | Le proprietà delle risorse di calcolo negli ambienti di calcolo Batch gestiti devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [CloudFormation2.](cloudformation-controls.md#cloudformation-2) | CloudFormation le pile devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [CloudFormation3.](cloudformation-controls.md#cloudformation-3) | CloudFormation gli stack dovrebbero avere la protezione dalla terminazione abilitata | AWS Migliori pratiche di sicurezza di base | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [CloudFormation4.](cloudformation-controls.md#cloudformation-4) | CloudFormation gli stack devono avere ruoli di servizio associati | AWS Migliori pratiche di sicurezza di base | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [CloudFront1](cloudfront-controls.md#cloudfront-1). | CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [CloudFront3.](cloudfront-controls.md#cloudfront-3) | CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [CloudFront4.](cloudfront-controls.md#cloudfront-4) | CloudFront le distribuzioni devono avere il failover di origine configurato | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | BASSO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [CloudFront5.](cloudfront-controls.md#cloudfront-5) | CloudFront le distribuzioni dovrebbero avere la registrazione abilitata | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [CloudFront6.](cloudfront-controls.md#cloudfront-6) | CloudFront le distribuzioni dovrebbero avere WAF abilitato | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [CloudFront7.](cloudfront-controls.md#cloudfront-7) | CloudFront le distribuzioni devono utilizzare certificati personalizzati SSL/TLS | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | BASSO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [CloudFront8.](cloudfront-controls.md#cloudfront-8) | CloudFront le distribuzioni dovrebbero utilizzare SNI per soddisfare le richieste HTTPS | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | BASSO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [CloudFront9.](cloudfront-controls.md#cloudfront-9) | CloudFront le distribuzioni dovrebbero crittografare il traffico verso origini personalizzate | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [CloudFront.10](cloudfront-controls.md#cloudfront-10) | CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [CloudFront1.2](cloudfront-controls.md#cloudfront-12) | CloudFront le distribuzioni non devono puntare a origini S3 inesistenti | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [CloudFront1.3](cloudfront-controls.md#cloudfront-13) | CloudFront le distribuzioni dovrebbero utilizzare il controllo dell'accesso all'origine | AWS Migliori pratiche di sicurezza di base v1.0.0 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [CloudFront1.4](cloudfront-controls.md#cloudfront-14) | CloudFront le distribuzioni devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [CloudFront.15](cloudfront-controls.md#cloudfront-15) | CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata | AWS Best practice di sicurezza di base v1.0.0 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [CloudFront1.6](cloudfront-controls.md#cloudfront-16) | CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine per le origini degli URL della funzione Lambda | AWS Best practice di sicurezza di base v1.0.0 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [CloudFront1.7](cloudfront-controls.md#cloudfront-17) | CloudFront le distribuzioni dovrebbero utilizzare gruppi di chiavi affidabili per i file firmati URLs e i cookie | AWS Best practice di sicurezza di base v1.0.0 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [CloudTrail1](cloudtrail-controls.md#cloudtrail-1). | CloudTrail deve essere abilitato e configurato con almeno un percorso multiregionale che includa eventi di gestione di lettura e scrittura | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, Buone pratiche di sicurezza di base, NIST SP 800-53 Rev. 5 AWS AWS | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [CloudTrail2.](cloudtrail-controls.md#cloudtrail-2) | CloudTrail dovrebbe avere la crittografia a riposo abilitata | Benchmark CIS AWS Foundations versione 5.0.0, benchmark CIS Foundations v3.0.0, benchmark CIS AWS Foundations v1.2.0, benchmark CIS AWS Foundations v1.4.0 Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, AWS NIST SP 800-171 Rev. 2, PCI AWS DSS v3.2.1, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [CloudTrail3.](cloudtrail-controls.md#cloudtrail-3) | Almeno un CloudTrail percorso deve essere abilitato | NIST SP 800-171 Rev. 2, PCI DSS versione 4.0.1, PCI DSS versione 3.2.1 | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [CloudTrail4.](cloudtrail-controls.md#cloudtrail-4) | CloudTrail la convalida dei file di registro deve essere abilitata | Benchmark CIS AWS Foundations v5.0.0, benchmark CIS Foundations v3.0.0, benchmark CIS AWS Foundations v1.4.0, benchmark CIS AWS Foundations v1.2.0, Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 AWS Rev. 5, NIST SP 800-171 Rev. 2, PCI AWS DSS v4.0.1, PCI DSS v3.2.1 | BASSO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [CloudTrail5.](cloudtrail-controls.md#cloudtrail-5) | CloudTrail i trail devono essere integrati con Amazon CloudWatch Logs | Benchmark CIS AWS Foundations v1.2.0, benchmark CIS AWS Foundations v1.4.0, buone pratiche di sicurezza di base v1.0.0, NIST SP AWS 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [CloudTrail6.](cloudtrail-controls.md#cloudtrail-6) | Assicurati che il bucket S3 utilizzato per archiviare i CloudTrail log non sia accessibile al pubblico | Benchmark CIS AWS Foundations v1.2.0, benchmark CIS Foundations v1.4.0, PCI DSS AWS v4.0.1 | CRITICO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata e periodica |
| [CloudTrail7.](cloudtrail-controls.md#cloudtrail-7) | Assicurati che la registrazione degli accessi al bucket S3 sia abilitata sul bucket S3 CloudTrail | Benchmark CIS AWS Foundations v5.0.0, benchmark CIS Foundations v3.0.0, benchmark CIS AWS Foundations v1.2.0, benchmark CIS Foundations v1.4.0, benchmark CIS AWS Foundations v3.0.0, PCI DSS v4.0.1 AWS AWS | BASSO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [CloudTrail9.](cloudtrail-controls.md#cloudtrail-9) | CloudTrail i sentieri devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [CloudTrail.10](cloudtrail-controls.md#cloudtrail-10) | CloudTrail Gli archivi dati di Lake Event devono essere crittografati con Customer Managed AWS KMS keys | NIST SP 800-53 Rev. 5 | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Periodic (Periodico) |
| [CloudWatch1](cloudwatch-controls.md#cloudwatch-1). | Dovrebbero esistere un filtro metrico di registro e un allarme per l'utilizzo da parte dell'utente «root» | Benchmark CIS AWS Foundations versione 1.4.0, benchmark CIS AWS Foundations versione 1.2.0, NIST SP 800-171 Rev. 2, PCI DSS versione 3.2.1 | BASSO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [CloudWatch2.](cloudwatch-controls.md#cloudwatch-2) | Verifica se esistono un filtro e un allarme per le metriche dei log relativamente alle chiamate API non autorizzate | Benchmark CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2 | BASSO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [CloudWatch3.](cloudwatch-controls.md#cloudwatch-3) | Verifica se esistono un filtro e un allarme per le metriche dei log per l'accesso alla Console di gestione senza autenticazione a più fattori (MFA) | Benchmark CIS AWS Foundations v1.2.0 | BASSO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [CloudWatch4.](cloudwatch-controls.md#cloudwatch-4) | Verifica se esistono un filtro e un allarme per le metriche dei log relativamente alle modifiche apportate alle policy IAM | Benchmark CIS AWS Foundations v1.4.0, benchmark CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2 | BASSO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [CloudWatch5.](cloudwatch-controls.md#cloudwatch-5) | Assicurati che esistano un filtro metrico di registro e un allarme per le CloudTrail modifiche alla configurazione | Benchmark CIS AWS Foundations v1.4.0, benchmark CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2 | BASSO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [CloudWatch6.](cloudwatch-controls.md#cloudwatch-6) | Assicurati che esistano un filtro metrico di registro e un allarme per gli Console di gestione AWS errori di autenticazione | Benchmark CIS AWS Foundations v1.4.0, benchmark CIS Foundations v1.2.0, NIST SP 800-171 AWS Rev. 2 | BASSO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [CloudWatch7.](cloudwatch-controls.md#cloudwatch-7) | Assicurati che esistano un registro, un filtro metrico e un allarme per la disabilitazione o la cancellazione programmata dei dati creati dal cliente CMKs | Benchmark CIS AWS Foundations v1.4.0, benchmark CIS Foundations v1.2.0, NIST SP 800-171 AWS Rev. 2 | BASSO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [CloudWatch8.](cloudwatch-controls.md#cloudwatch-8) | Verifica se esistono un filtro e un allarme per le metriche dei log relativamente alle modifiche apportate alle policy dei bucket S3 | Benchmark CIS AWS Foundations v1.4.0, benchmark CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2 | BASSO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [CloudWatch9.](cloudwatch-controls.md#cloudwatch-9) | Assicurati che esistano un filtro metrico di registro e un allarme per le AWS Config modifiche alla configurazione | Benchmark CIS AWS Foundations v1.4.0, benchmark CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2 | BASSO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [CloudWatch.10](cloudwatch-controls.md#cloudwatch-10) | Verifica se esistono un filtro e un allarme per le metriche dei log relativamente alle modifiche apportate al gruppo di sicurezza | Benchmark CIS AWS Foundations v1.4.0, benchmark CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2 | BASSO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [CloudWatch.11](cloudwatch-controls.md#cloudwatch-11) | Verifica se esistono un filtro e un allarme per le metriche dei log relativamente alle modifiche apportate alle liste di controllo degli accessi alla rete (NACL) | Benchmark CIS AWS Foundations v1.4.0, benchmark CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2 | BASSO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [CloudWatch.12](cloudwatch-controls.md#cloudwatch-12) | Verifica se esistono un filtro e un allarme per le metriche dei log relativamente alle modifiche apportate ai gateway di rete | Benchmark CIS AWS Foundations v1.4.0, benchmark CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2 | BASSO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [CloudWatch.13](cloudwatch-controls.md#cloudwatch-13) | Verifica se esistono un filtro e un allarme per le metriche dei log relativamente alle modifiche apportate alle tabelle di routing | Benchmark CIS AWS Foundations v1.4.0, benchmark CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2 | BASSO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [CloudWatch.14](cloudwatch-controls.md#cloudwatch-14) | Verifica se esistono un filtro e un allarme per le metriche dei log relativamente alle modifiche apportate al VPC | Benchmark CIS AWS Foundations v1.4.0, benchmark CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2 | BASSO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [CloudWatch.15](cloudwatch-controls.md#cloudwatch-15) | CloudWatch gli allarmi dovrebbero avere azioni specificate configurate | NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | HIGH (ELEVATO) | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [CloudWatch1.6](cloudwatch-controls.md#cloudwatch-16) | CloudWatch i gruppi di log devono essere conservati per un periodo di tempo specificato | NIST SP 800-53 Rev. 5 | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Periodic (Periodico) |
| [CloudWatch.17](cloudwatch-controls.md#cloudwatch-17) | CloudWatch le azioni di allarme devono essere abilitate | NIST SP 800-53 Rev. 5 | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [CodeArtifact1](codeartifact-controls.md#codeartifact-1). | CodeArtifact i repository devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [CodeBuild1](codebuild-controls.md#codebuild-1). | CodeBuild L'archivio sorgente di Bitbucket non URLs deve contenere credenziali sensibili | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | CRITICO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [CodeBuild2.](codebuild-controls.md#codebuild-2) | CodeBuild le variabili di ambiente del progetto non devono contenere credenziali di testo non crittografato | AWS Migliori pratiche di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | CRITICO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [CodeBuild3.](codebuild-controls.md#codebuild-3) | CodeBuild I log S3 devono essere crittografati | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, | BASSO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [CodeBuild4.](codebuild-controls.md#codebuild-4) | CodeBuild gli ambienti di progetto dovrebbero avere una configurazione di registrazione | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [CodeBuild7.](codebuild-controls.md#codebuild-7) | CodeBuild le esportazioni dei gruppi di report devono essere crittografate quando sono inattive | AWS Migliori pratiche di sicurezza di base | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [CodeGuruProfiler1](codeguruprofiler-controls.md#codeguruprofiler-1). | CodeGuru I gruppi di profilazione di Profiler devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [CodeGuruReviewer1](codegurureviewer-controls.md#codegurureviewer-1). | CodeGuru Le associazioni dei repository dei revisori devono essere contrassegnate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [Cognito.1](cognito-controls.md#cognito-1) | I pool di utenti di Cognito dovrebbero avere la protezione dalle minacce attivata con la modalità di imposizione completa delle funzioni per l'autenticazione standard | AWS Le migliori pratiche di sicurezza di base | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [Cognito.2](cognito-controls.md#cognito-2) | I pool di identità di Cognito non dovrebbero consentire identità non autenticate | AWS Le migliori pratiche di sicurezza di base | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [Cognito.3](cognito-controls.md#cognito-3) | Le politiche relative alle password per i pool di utenti di Cognito devono avere configurazioni avanzate | AWS Le migliori pratiche di sicurezza di base | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [Cognito.4](cognito-controls.md#cognito-4) | I pool di utenti di Cognito dovrebbero avere la protezione dalle minacce attivata con la modalità di imposizione completa delle funzioni per l'autenticazione personalizzata | AWS Le migliori pratiche di sicurezza di base | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [Cognito.5](cognito-controls.md#cognito-5) | La MFA deve essere abilitata per i pool di utenti di Cognito | AWS Migliori pratiche di sicurezza di base | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [Cognito.6](cognito-controls.md#cognito-6) | I pool di utenti di Cognito devono avere la protezione dall'eliminazione abilitata | AWS Le migliori pratiche di sicurezza di base | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [Config.1](config-controls.md#config-1) | AWS Config deve essere abilitato e utilizzare il ruolo collegato al servizio per la registrazione delle risorse | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS Foundations Benchmark v1.2.0, Buone pratiche di AWS sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS AWS v3.2.1 AWS | CRITICO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Periodic (Periodico) |
| [Connessione.1](connect-controls.md#connect-1) | I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [Connessione.2](connect-controls.md#connect-2) | Le istanze Amazon Connect devono avere la CloudWatch registrazione abilitata | AWS Best practice di sicurezza di base | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [DataFirehose1](datafirehose-controls.md#datafirehose-1). | I flussi di distribuzione di Firehose devono essere crittografati quando sono inattivi | AWS Migliori pratiche di sicurezza di base, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [DataSync1](datasync-controls.md#datasync-1). | DataSync le attività dovrebbero avere la registrazione abilitata | AWS Migliori pratiche di sicurezza di base | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [DataSync2.](datasync-controls.md#datasync-2) | DataSync le attività devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [Detective. 1](detective-controls.md#detective-1) | I grafici del comportamento dei Detective devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [DMS.1](dms-controls.md#dms-1) | Le istanze di replica del Database Migration Service non devono essere pubbliche | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | CRITICO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [DMS.2](dms-controls.md#dms-2) | I certificati DMS devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [DMS.3](dms-controls.md#dms-3) | Le sottoscrizioni agli eventi DMS devono essere contrassegnate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [DMS.4](dms-controls.md#dms-4) | Le istanze di replica DMS devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [DMS.5](dms-controls.md#dms-5) | I sottoreti di replica DMS devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [DMS.6](dms-controls.md#dms-6) | L'aggiornamento automatico delle versioni secondarie delle istanze di replica DMS deve essere abilitato | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [DMS.7](dms-controls.md#dms-7) | Le attività di replica DMS per il database di destinazione devono avere la registrazione abilitata | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [DMS.8](dms-controls.md#dms-8) | Le attività di replica DMS per il database di origine devono avere la registrazione abilitata | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [DMS.9](dms-controls.md#dms-9) | Gli endpoint DMS devono utilizzare SSL | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [DMS.10](dms-controls.md#dms-10) | Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [DMS.11](dms-controls.md#dms-11) | Gli endpoint DMS per MongoDB devono avere un meccanismo di autenticazione abilitato | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [DMS.12](dms-controls.md#dms-12) | Gli endpoint DMS per Redis OSS devono avere TLS abilitato | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [DMS.13](dms-controls.md#dms-13) | Le istanze di replica DMS devono essere configurate per utilizzare più zone di disponibilità | AWS Best practice di sicurezza di base | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [Documento DB.1](documentdb-controls.md#documentdb-1) | I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [Documento DB.2](documentdb-controls.md#documentdb-2) | I cluster Amazon DocumentDB devono avere un periodo di conservazione dei backup adeguato | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [Documento DB.3](documentdb-controls.md#documentdb-3) | Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | CRITICO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [Documento DB.4](documentdb-controls.md#documentdb-4) | I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [Documento DB.5](documentdb-controls.md#documentdb-5) | I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [Documento DB.6](documentdb-controls.md#documentdb-6) | I cluster Amazon DocumentDB devono essere crittografati in transito | AWS Best practice di sicurezza di base | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [DynamoDB.1](dynamodb-controls.md#dynamodb-1) | Le tabelle DynamoDB dovrebbero scalare automaticamente la capacità in base alla domanda | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Periodic (Periodico) |
| [DynamoDB.2](dynamodb-controls.md#dynamodb-2) | Le tabelle DynamoDB devono avere il ripristino abilitato point-in-time | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [DynamoDB.3](dynamodb-controls.md#dynamodb-3) | I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [Dynamo DB.4](dynamodb-controls.md#dynamodb-4) | Le tabelle DynamoDB devono essere presenti in un piano di backup | NIST SP 800-53 Rev. 5 | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Periodic (Periodico) |
| [Dynamo DB.5](dynamodb-controls.md#dynamodb-5) | Le tabelle DynamoDB devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [Dynamo DB.6](dynamodb-controls.md#dynamodb-6) | Le tabelle DynamoDB devono avere la protezione da eliminazione abilitata | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [Dynamo DB.7](dynamodb-controls.md#dynamodb-7) | I cluster DynamoDB Accelerator devono essere crittografati in transito | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [EC2.1](ec2-controls.md#ec2-1) | Le istantanee EBS non devono essere ripristinabili pubblicamente | AWS Best practice di sicurezza di base v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | CRITICO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [EC2.2](ec2-controls.md#ec2-2) | I gruppi di sicurezza VPC predefiniti non devono consentire il traffico in entrata o in uscita | Benchmark CIS AWS Foundations v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.2.0, Buone pratiche di sicurezza di base v1.0.0, PCI DSS v3.2.1, Benchmark CIS AWS AWS Foundations v1.4.0, NIST SP 800-53 Rev. 5 AWS | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [EC2.3](ec2-controls.md#ec2-3) | I volumi EBS collegati devono essere crittografati quando sono inattivi | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [EC2.4](ec2-controls.md#ec2-4) | Le istanze EC2 arrestate devono essere rimosse dopo un periodo di tempo specificato | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Periodic (Periodico) |
| [EC2.6](ec2-controls.md#ec2-6) | La registrazione del flusso VPC deve essere abilitata in tutti VPCs | Benchmark CIS AWS Foundations versione 5.0.0, benchmark CIS Foundations versione 3.0.0, benchmark CIS AWS Foundations v1.2.0, best practice di sicurezza di base v1.0.0, PCI DSS versione 3.2.1, benchmark CIS AWS AWS Foundations v1.4.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 AWS | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [EC2.7](ec2-controls.md#ec2-7) | La crittografia predefinita di EBS deve essere abilitata | Benchmark CIS AWS Foundations v5.0.0, benchmark CIS AWS Foundations v3.0.0, Buone pratiche di sicurezza AWS Foundational v1.0.0, benchmark CIS Foundations v1.4.0, NIST SP 800-53 Rev. 5 AWS | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [EC2.8](ec2-controls.md#ec2-8) | Le istanze EC2 devono utilizzare Instance Metadata Service versione 2 () IMDSv2 | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, migliori pratiche di sicurezza di AWS base, NIST SP 800-53 Rev. 5, PCI DSS AWS v4.0.1 | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [EC2.9](ec2-controls.md#ec2-9) | Le istanze EC2 non devono avere un indirizzo pubblico IPv4 | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [EC2.10](ec2-controls.md#ec2-10) | Amazon EC2 deve essere configurato per utilizzare endpoint VPC creati per il servizio Amazon EC2. | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [EC2.12](ec2-controls.md#ec2-12) | L'EC2 non utilizzato EIPs deve essere rimosso | PCI DSS versione 3.2.1, NIST SP 800-53 Rev. 5 | BASSO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [EC2.13](ec2-controls.md#ec2-13) | I gruppi di sicurezza non devono consentire l'accesso da 0.0.0.0/0 o: :/0 alla porta 22 | Benchmark CIS AWS Foundations versione 1.2.0, PCI DSS versione 3.2.1, PCI DSS versione 4.0.1, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata e periodica |
| [EC 2.14](ec2-controls.md#ec2-14) | I gruppi di sicurezza non dovrebbero consentire l'accesso da 0.0.0.0/0 o: :/0 alla porta 3389 | Benchmark CIS Foundations v1.2.0, PCI DSS v4.0.1 AWS | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata e periodica |
| [EC2.15](ec2-controls.md#ec2-15) | Le sottoreti EC2 non devono assegnare automaticamente indirizzi IP pubblici | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [EC2.16](ec2-controls.md#ec2-16) | Gli elenchi di controllo degli accessi alla rete non utilizzati devono essere rimossi | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1, | BASSO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [EC2.17](ec2-controls.md#ec2-17) | Le istanze EC2 non devono utilizzarne più ENIs | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | BASSO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [EC2.18](ec2-controls.md#ec2-18) | I gruppi di sicurezza devono consentire il traffico in entrata senza restrizioni solo per le porte autorizzate | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | HIGH (ELEVATO) | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [EC2.19](ec2-controls.md#ec2-19) | I gruppi di sicurezza non dovrebbero consentire l'accesso illimitato alle porte ad alto rischio | AWS Migliori pratiche di sicurezza di base, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | CRITICO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata e periodica |
| [EC2.20](ec2-controls.md#ec2-20) | Entrambi i tunnel VPN per una connessione AWS Site-to-Site VPN dovrebbero essere attivi | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [EC2.21](ec2-controls.md#ec2-21) | La rete non ACLs dovrebbe consentire l'ingresso dalla porta 0.0.0.0/0 alla porta 22 o alla porta 3389 | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, AWS NIST SP 800-171 Rev. 2, AWS PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [EC2.22](ec2-controls.md#ec2-22) | I gruppi di sicurezza EC2 non utilizzati devono essere rimossi | | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [EC2.23](ec2-controls.md#ec2-23) | I gateway di transito EC2 non dovrebbero accettare automaticamente le richieste di allegati VPC | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [EC2.24](ec2-controls.md#ec2-24) | I tipi di istanze paravirtuali EC2 non devono essere utilizzati | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [EC2.25](ec2-controls.md#ec2-25) | I modelli di lancio di EC2 non devono assegnare interfacce di rete pubbliche IPs | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [EC2,28](ec2-controls.md#ec2-28) | I volumi EBS devono essere inclusi in un piano di backup | NIST SP 800-53 Rev. 5 | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Periodic (Periodico) |
| [EC2,33](ec2-controls.md#ec2-33) | Gli allegati del gateway di transito EC2 devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [EC2,34](ec2-controls.md#ec2-34) | Le tabelle delle rotte dei gateway di transito EC2 devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [EC2,35](ec2-controls.md#ec2-35) | Le interfacce di rete EC2 devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [EC2,36](ec2-controls.md#ec2-36) | I gateway per i clienti EC2 devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [EC2,37](ec2-controls.md#ec2-37) | Gli indirizzi IP elastici EC2 devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [EC2,38](ec2-controls.md#ec2-38) | Le istanze EC2 devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [EC2,39](ec2-controls.md#ec2-39) | I gateway Internet EC2 devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [EC2,40](ec2-controls.md#ec2-40) | I gateway NAT EC2 devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [EC2.41](ec2-controls.md#ec2-41) | La rete ACLs EC2 deve essere etichettata | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [EC2,42](ec2-controls.md#ec2-42) | Le tabelle delle rotte EC2 devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [EC2,43](ec2-controls.md#ec2-43) | I gruppi di sicurezza EC2 devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [EC2,44](ec2-controls.md#ec2-44) | Le sottoreti EC2 devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [EC2,45](ec2-controls.md#ec2-45) | I volumi EC2 devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [EC2,46](ec2-controls.md#ec2-46) | Amazon VPCs dovrebbe essere taggato | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [EC2,47](ec2-controls.md#ec2-47) | I servizi endpoint Amazon VPC devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [EC2,48](ec2-controls.md#ec2-48) | I log di flusso di Amazon VPC devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [EC2,49](ec2-controls.md#ec2-49) | Le connessioni peering Amazon VPC devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [EC2,50](ec2-controls.md#ec2-50) | I gateway VPN EC2 devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [EC2,51](ec2-controls.md#ec2-51) | Gli endpoint EC2 Client VPN devono avere la registrazione della connessione client abilitata | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | BASSO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [EC2,52](ec2-controls.md#ec2-52) | I gateway di transito EC2 devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [EC2,53](ec2-controls.md#ec2-53) | I gruppi di sicurezza EC2 non dovrebbero consentire l'accesso da 0.0.0.0/0 alle porte di amministrazione remota del server | Benchmark CIS AWS Foundations v5.0.0, benchmark CIS Foundations v3.0.0, PCI DSS v4.0.1 AWS | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [EC 2.54](ec2-controls.md#ec2-54) | I gruppi di sicurezza EC2 non dovrebbero consentire l'accesso da: :/0 alle porte di amministrazione remota del server | Benchmark CIS AWS Foundations v5.0.0, benchmark CIS Foundations v3.0.0, PCI DSS v4.0.1 AWS | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [EC 2.5](ec2-controls.md#ec2-55) | VPCs deve essere configurato con un endpoint di interfaccia per l'API ECR | AWS Migliori pratiche di sicurezza di base, NIST SP 800-53 Rev. 5 | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Periodic (Periodico) |
| [EC2,56](ec2-controls.md#ec2-56) | VPCs deve essere configurato con un endpoint di interfaccia per Docker Registry | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5 | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Periodic (Periodico) |
| [EC2,57](ec2-controls.md#ec2-57) | VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5 | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Periodic (Periodico) |
| [EC2,58](ec2-controls.md#ec2-58) | VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager Contacts | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5 | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Periodic (Periodico) |
| [EC2,60](ec2-controls.md#ec2-60) | VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5 | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Periodic (Periodico) |
| [EC2.170](ec2-controls.md#ec2-170) | I modelli di lancio di EC2 devono utilizzare Instance Metadata Service Version 2 () IMDSv2 | AWS Best practice di sicurezza di base, PCI DSS v4.0.1 | BASSO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [EC2.171](ec2-controls.md#ec2-171) | Le connessioni VPN EC2 devono avere la registrazione abilitata | AWS Best practice di sicurezza di base, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [EC2,172](ec2-controls.md#ec2-172) | Le impostazioni VPC Block Public Access di EC2 dovrebbero bloccare il traffico del gateway Internet | AWS Migliori pratiche di sicurezza di base | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [EC2.173](ec2-controls.md#ec2-173) | Le richieste Spot Fleet di EC2 con parametri di avvio dovrebbero abilitare la crittografia per i volumi EBS collegati | AWS Best practice di sicurezza di base | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [EC2,174](ec2-controls.md#ec2-174) | I set di opzioni DHCP EC2 devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [EC2,175](ec2-controls.md#ec2-175) | I modelli di lancio di EC2 devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [EC2,176](ec2-controls.md#ec2-176) | Gli elenchi di prefissi EC2 devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [EC2,177](ec2-controls.md#ec2-177) | Le sessioni Traffic Mirror di EC2 devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [EC2,178](ec2-controls.md#ec2-178) | I filtri Traffic Mirror EC2 devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [EC2,179](ec2-controls.md#ec2-179) | Gli obiettivi dello specchio stradale EC2 devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [EC2,180](ec2-controls.md#ec2-180) | Le interfacce di rete EC2 dovrebbero avere il controllo abilitato source/destination | AWS Migliori pratiche di sicurezza di base v1.0.0 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [EC2,181](ec2-controls.md#ec2-181) | I modelli di lancio EC2 dovrebbero abilitare la crittografia per i volumi EBS collegati | AWS Best practice di sicurezza di base v1.0.0 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [EC2,182](ec2-controls.md#ec2-182) | Le istantanee EBS non dovrebbero essere accessibili al pubblico | AWS Le migliori pratiche di sicurezza di base | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [ECR.1](ecr-controls.md#ecr-1) | Gli archivi privati ECR devono avere la scansione delle immagini configurata | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [ECR.2](ecr-controls.md#ecr-2) | Gli archivi privati ECR devono avere l'immutabilità dei tag configurata | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [ECR.3](ecr-controls.md#ecr-3) | Gli archivi ECR devono avere almeno una politica del ciclo di vita configurata | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [ECR.4](ecr-controls.md#ecr-4) | Gli archivi pubblici ECR devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [ECR.5](ecr-controls.md#ecr-5) | Gli archivi ECR devono essere crittografati con Customer Managed AWS KMS keys | NIST SP 800-53 Rev. 5 | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [ECS.2](ecs-controls.md#ecs-2) | Ai servizi ECS non dovrebbero essere assegnati automaticamente indirizzi IP pubblici | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [ECS.3](ecs-controls.md#ecs-3) | Le definizioni delle attività ECS non devono condividere lo spazio dei nomi del processo dell'host | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [ECS.4](ecs-controls.md#ecs-4) | I contenitori ECS devono essere eseguiti come non privilegiati | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [ECS.5](ecs-controls.md#ecs-5) | I contenitori ECS devono essere limitati all'accesso in sola lettura ai filesystem root | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [ECS.8](ecs-controls.md#ecs-8) | I segreti non devono essere passati come variabili di ambiente del contenitore | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [ECS.9](ecs-controls.md#ecs-9) | Le definizioni delle attività ECS devono avere una configurazione di registrazione | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [ECS.10](ecs-controls.md#ecs-10) | I servizi ECS Fargate devono essere eseguiti sulla versione più recente della piattaforma Fargate | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [ECS.12](ecs-controls.md#ecs-12) | I cluster ECS devono utilizzare Container Insights | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [ECS.13](ecs-controls.md#ecs-13) | I servizi ECS devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [ECS.14](ecs-controls.md#ecs-14) | I cluster ECS devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [ECS.15](ecs-controls.md#ecs-15) | Le definizioni delle attività ECS devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [ECS.16](ecs-controls.md#ecs-16) | I set di attività ECS non devono assegnare automaticamente indirizzi IP pubblici | AWS Best practice di sicurezza di base, PCI DSS v4.0.1 | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [ECS.17](ecs-controls.md#ecs-17) | Le definizioni delle attività ECS non devono utilizzare la modalità di rete host | NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [ECS.18](ecs-controls.md#ecs-18) | Le definizioni delle attività ECS devono utilizzare la crittografia in transito per i volumi EFS | AWS Best practice di sicurezza di base | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [ECS.19](ecs-controls.md#ecs-19) | I fornitori di capacità ECS dovrebbero avere abilitato la protezione gestita dalla terminazione | AWS Migliori pratiche di sicurezza di base | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [ECS.20](ecs-controls.md#ecs-20) | Le definizioni delle attività ECS devono configurare gli utenti non root nelle definizioni dei contenitori Linux | AWS Le migliori pratiche di sicurezza di base | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [ECS.21](ecs-controls.md#ecs-21) | Le definizioni delle attività ECS devono configurare gli utenti non amministratori nelle definizioni dei contenitori Windows | AWS Best practice di sicurezza di base | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [EFS.1](efs-controls.md#efs-1) | Elastic File System deve essere configurato per crittografare i dati dei file archiviati utilizzando AWS KMS | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 AWS | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [EFS.2](efs-controls.md#efs-2) | I volumi Amazon EFS devono essere inclusi nei piani di backup | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [EFS.3](efs-controls.md#efs-3) | I punti di accesso EFS devono applicare una directory principale | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [EFS.4](efs-controls.md#efs-4) | I punti di accesso EFS devono applicare un'identità utente | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [EFS.5](efs-controls.md#efs-5) | I punti di accesso EFS devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [EFS.6](efs-controls.md#efs-6) | Gli obiettivi di montaggio EFS non devono essere associati a sottoreti che assegnano indirizzi IP pubblici all'avvio | AWS Best practice di sicurezza di base | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [EFS.7](efs-controls.md#efs-7) | I file system EFS devono avere i backup automatici abilitati | AWS Best practice di sicurezza di base | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [EFS.8](efs-controls.md#efs-8) | I file system EFS devono essere crittografati quando sono inattivi | CIS AWS Foundations Benchmark v5.0.0, Buone pratiche di sicurezza di base AWS | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [EKS.1](eks-controls.md#eks-1) | Gli endpoint del cluster EKS non devono essere accessibili al pubblico | AWS Migliori pratiche di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [EKS.2](eks-controls.md#eks-2) | I cluster EKS devono essere eseguiti su una versione di Kubernetes supportata | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [EKS.3](eks-controls.md#eks-3) | I cluster EKS devono utilizzare segreti Kubernetes crittografati | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [EKS.6](eks-controls.md#eks-6) | I cluster EKS devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [EKS.7](eks-controls.md#eks-7) | Le configurazioni dei provider di identità EKS devono essere contrassegnate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [EKS.8](eks-controls.md#eks-8) | I cluster EKS dovrebbero avere la registrazione di controllo abilitata | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [ElastiCache1](elasticache-controls.md#elasticache-1). | ElastiCache I cluster (Redis OSS) devono avere i backup automatici abilitati | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ELEVATO) | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Periodic (Periodico) |
| [ElastiCache2.](elasticache-controls.md#elasticache-2) | ElastiCache i cluster dovrebbero avere gli aggiornamenti automatici delle versioni secondarie abilitati | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [ElastiCache3.](elasticache-controls.md#elasticache-3) | ElastiCache i gruppi di replica devono avere il failover automatico abilitato | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [ElastiCache4.](elasticache-controls.md#elasticache-4) | ElastiCache i gruppi di replica dovrebbero essere encrypted-at-rest | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [ElastiCache5.](elasticache-controls.md#elasticache-5) | ElastiCache i gruppi di replica dovrebbero essere encrypted-in-transit | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [ElastiCache6.](elasticache-controls.md#elasticache-6) | ElastiCache (Redis OSS) i gruppi di replica delle versioni precedenti devono avere Redis OSS AUTH abilitato | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [ElastiCache7.](elasticache-controls.md#elasticache-7) | ElastiCache i cluster non devono utilizzare il gruppo di sottoreti predefinito | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [ElasticBeanstalk1](elasticbeanstalk-controls.md#elasticbeanstalk-1). | Gli ambienti Elastic Beanstalk dovrebbero avere la reportistica sanitaria avanzata abilitata | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | BASSO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [ElasticBeanstalk2.](elasticbeanstalk-controls.md#elasticbeanstalk-2) | Gli aggiornamenti della piattaforma gestita da Elastic Beanstalk devono essere abilitati | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | HIGH (ELEVATO) | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [ElasticBeanstalk3.](elasticbeanstalk-controls.md#elasticbeanstalk-3) | Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch | AWS Migliori pratiche di sicurezza di base, PCI DSS v4.0.1 | HIGH (ELEVATO) | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [ELB.1](elb-controls.md#elb-1) | Application Load Balancer deve essere configurato per reindirizzare tutte le richieste HTTP a HTTPS | AWS Best practice di sicurezza di base v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [ELB.2](elb-controls.md#elb-2) | I sistemi Classic Load Balancer con SSL/HTTPS listener devono utilizzare un certificato fornito da AWS Certificate Manager | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [ELB.3](elb-controls.md#elb-3) | I listener Classic Load Balancer devono essere configurati con terminazione HTTPS o TLS | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [ELB.4](elb-controls.md#elb-4) | Application Load Balancer deve essere configurato per eliminare le intestazioni http | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [ELB.5](elb-controls.md#elb-5) | La registrazione di Application e Classic Load Balancers deve essere abilitata | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [ELB.6](elb-controls.md#elb-6) | Application, Gateway e Network Load Balancer devono avere la protezione da eliminazione abilitata | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [ELB.7](elb-controls.md#elb-7) | I Classic Load Balancer dovrebbero avere abilitato il drenaggio della connessione | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | BASSO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [ELB.8](elb-controls.md#elb-8) | I Classic Load Balancer con listener SSL devono utilizzare una politica di sicurezza predefinita con una configurazione avanzata | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [ELB.9](elb-controls.md#elb-9) | I sistemi Classic Load Balancer devono avere il bilanciamento del carico tra zone abilitato | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [ELB.10](elb-controls.md#elb-10) | Classic Load Balancer dovrebbe estendersi su più zone di disponibilità | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [ELB.12](elb-controls.md#elb-12) | Application Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa. | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [ELB.13](elb-controls.md#elb-13) | I Load Balancer per applicazioni, reti e gateway devono estendersi su più zone di disponibilità | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [ELB.14](elb-controls.md#elb-14) | Classic Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [ELB.16](elb-controls.md#elb-16) | Gli Application Load Balancer devono essere associati a un ACL web WAF AWS | NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [ELB.17](elb-controls.md#elb-17) | Gli Application e Network Load Balancer con listener devono utilizzare le politiche di sicurezza consigliate | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [ELB.18](elb-controls.md#elb-18) | I listener di Application e Network Load Balancer devono utilizzare protocolli sicuri per crittografare i dati in transito | AWS Best practice di sicurezza di base v1.0.0 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [ELB.21](elb-controls.md#elb-21) | I gruppi target di Application e Network Load Balancer devono utilizzare protocolli di controllo dello stato crittografati | AWS Best practice di sicurezza di base v1.0.0 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [ELB.22](elb-controls.md#elb-22) | I gruppi bersaglio dell'ELB dovrebbero utilizzare protocolli di trasporto criptati | AWS Migliori pratiche di sicurezza di base v1.0.0 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [EMR.1](emr-controls.md#emr-1) | I nodi primari del cluster Amazon EMR non devono avere indirizzi IP pubblici | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [EMR.2](emr-controls.md#emr-2) | L'impostazione di accesso pubblico a blocchi di Amazon EMR deve essere abilitata | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | CRITICO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [EMR.3](emr-controls.md#emr-3) | Le configurazioni di sicurezza di Amazon EMR devono essere crittografate quando sono inattive | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [EMR.4](emr-controls.md#emr-4) | Le configurazioni di sicurezza di Amazon EMR devono essere crittografate in transito | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [ES.1](es-controls.md#es-1) | I domini Elasticsearch devono avere la crittografia a riposo abilitata | AWS Best practice di sicurezza di base v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [ES.2](es-controls.md#es-2) | I domini Elasticsearch non dovrebbero essere accessibili al pubblico | AWS Best practice di sicurezza di base, PCI DSS v3.2.1, PCI DSS v4.0.1, NIST SP 800-53 Rev. 5 | CRITICO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [ES.3](es-controls.md#es-3) | I domini Elasticsearch devono crittografare i dati inviati tra i nodi | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [ES.4](es-controls.md#es-4) | La registrazione degli errori del dominio Elasticsearch nei registri deve essere abilitata CloudWatch | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [ES.5](es-controls.md#es-5) | I domini Elasticsearch devono avere la registrazione di controllo abilitata | AWS Migliori pratiche di sicurezza di base, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [ES.6](es-controls.md#es-6) | I domini Elasticsearch devono avere almeno tre nodi di dati | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [ES.7](es-controls.md#es-7) | I domini Elasticsearch devono essere configurati con almeno tre nodi master dedicati | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [ES.8](es-controls.md#es-8) | Le connessioni ai domini Elasticsearch devono essere crittografate utilizzando la più recente politica di sicurezza TLS | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [ES.9](es-controls.md#es-9) | I domini Elasticsearch devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [EventBridge2.](eventbridge-controls.md#eventbridge-2) | EventBridge gli event bus devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [EventBridge3.](eventbridge-controls.md#eventbridge-3) | EventBridge i bus di eventi personalizzati devono avere una politica basata sulle risorse allegata | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | BASSO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [EventBridge4.](eventbridge-controls.md#eventbridge-4) | EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata | NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [FraudDetector1](frauddetector-controls.md#frauddetector-1). | I tipi di entità Amazon Fraud Detector devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [FraudDetector2.](frauddetector-controls.md#frauddetector-2) | Le etichette di Amazon Fraud Detector devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [FraudDetector3.](frauddetector-controls.md#frauddetector-3) | I risultati di Amazon Fraud Detector devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [FraudDetector4.](frauddetector-controls.md#frauddetector-4) | Le variabili di Amazon Fraud Detector devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [FSx1](fsx-controls.md#fsx-1). | FSx per OpenZFS i file system devono essere configurati per copiare i tag su backup e volumi | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | BASSO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [FSx2.](fsx-controls.md#fsx-2) | FSx per Lustre i file system devono essere configurati per copiare i tag nei backup | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5 | BASSO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [FSx3.](fsx-controls.md#fsx-3) | FSx per OpenZFS i file system devono essere configurati per l'implementazione Multi-AZ | AWS Le migliori pratiche di sicurezza di base | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [FSx4.](fsx-controls.md#fsx-4) | FSx per NetApp ONTAP i file system devono essere configurati per l'implementazione Multi-AZ | AWS Best practice di sicurezza di base | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Periodic (Periodico) |
| [FSx5.](fsx-controls.md#fsx-5) | FSx per Windows File Server i file system devono essere configurati per l'implementazione Multi-AZ | AWS Best practice di sicurezza di base | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [Colla. 1](glue-controls.md#glue-1) | AWS Glue i lavori devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [Colla. 3](glue-controls.md#glue-3) | AWS Glue le trasformazioni di apprendimento automatico devono essere crittografate a riposo | AWS Le migliori pratiche di sicurezza di base | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [Colla. 4](glue-controls.md#glue-4) | AWS Glue I job Spark dovrebbero essere eseguiti su versioni supportate di AWS Glue | AWS Migliori pratiche di sicurezza di base, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [GlobalAccelerator1](globalaccelerator-controls.md#globalaccelerator-1). | Gli acceleratori Global Accelerator devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [GuardDuty1](guardduty-controls.md#guardduty-1). | GuardDuty dovrebbe essere abilitato | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [GuardDuty2.](guardduty-controls.md#guardduty-2) | GuardDuty i filtri devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [GuardDuty3.](guardduty-controls.md#guardduty-3) | GuardDuty IPSets deve essere etichettato | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [GuardDuty4.](guardduty-controls.md#guardduty-4) | GuardDuty i rilevatori devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [GuardDuty5.](guardduty-controls.md#guardduty-5) | GuardDuty EKS Audit Log Monitoring deve essere abilitato | AWS Migliori pratiche di sicurezza di base | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [GuardDuty6.](guardduty-controls.md#guardduty-6) | GuardDuty La protezione Lambda deve essere abilitata | AWS Best practice di sicurezza di base, PCI DSS v4.0.1 | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [GuardDuty7.](guardduty-controls.md#guardduty-7) | GuardDuty EKS Runtime Monitoring deve essere abilitato | AWS Best practice di sicurezza di base, PCI DSS v4.0.1 | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [GuardDuty8.](guardduty-controls.md#guardduty-8) | GuardDuty La protezione da malware per EC2 deve essere abilitata | AWS Le migliori pratiche di sicurezza di base | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [GuardDuty9.](guardduty-controls.md#guardduty-9) | GuardDuty La protezione RDS deve essere abilitata | AWS Best practice di sicurezza di base, PCI DSS v4.0.1 | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [GuardDuty.10](guardduty-controls.md#guardduty-10) | GuardDuty La protezione S3 deve essere abilitata | AWS Best practice di sicurezza di base, PCI DSS v4.0.1 | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [GuardDuty1.1](guardduty-controls.md#guardduty-11) | GuardDuty Il monitoraggio del runtime deve essere abilitato | AWS Migliori pratiche di sicurezza di base | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [GuardDuty1.2](guardduty-controls.md#guardduty-12) | GuardDuty Il monitoraggio del runtime ECS deve essere abilitato | AWS Migliori pratiche di sicurezza di base | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [GuardDuty.13](guardduty-controls.md#guardduty-13) | GuardDuty Il monitoraggio del runtime di EC2 deve essere abilitato | AWS Le migliori pratiche di sicurezza di base | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [IAM.1](iam-controls.md#iam-1) | Le politiche IAM non dovrebbero consentire privilegi amministrativi completi «\$1» | Benchmark CIS AWS Foundations v1.2.0, Buone pratiche di sicurezza di base v1.0.0, PCI DSS versione 3.2.1, benchmark CIS AWS AWS Foundations v1.4.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [IAM.2](iam-controls.md#iam-2) | Gli utenti IAM non devono avere policy IAM allegate | Benchmark CIS AWS Foundations versione 5.0.0, benchmark CIS Foundations versione 3.0.0, benchmark CIS AWS Foundations v1.2.0, best practice di sicurezza di AWS base v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 AWS Rev. 5, NIST SP 800-171 Rev. 2 | BASSO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [IAM.3](iam-controls.md#iam-3) | Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, Buone pratiche di AWS sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 AWS | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [IAM.4](iam-controls.md#iam-4) | La chiave di accesso utente root IAM non dovrebbe esistere | Benchmark CIS AWS Foundations v5.0.0, benchmark CIS Foundations v3.0.0, benchmark CIS AWS Foundations v1.4.0, benchmark CIS AWS Foundations v1.2.0, Buone pratiche di sicurezza di base v1.0.0, PCI DSS v3.2.1, NIST AWS SP 800-53 Rev. 5 AWS | CRITICO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [IAM.5](iam-controls.md#iam-5) | L'MFA deve essere abilitata per tutti gli utenti IAM che dispongono di una password di console | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, Buone pratiche di sicurezza di base, NIST SP 800-53 Rev. 5, PCI AWS DSS v4.0.1 AWS | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [IAM.6](iam-controls.md#iam-6) | La MFA hardware deve essere abilitata per l'utente root | Benchmark CIS AWS Foundations v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, benchmark CIS AWS Foundations v1.2.0, best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI AWS DSS v3.2.1, PCI DSS v4.0.1 AWS | CRITICO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [IAM.7](iam-controls.md#iam-7) | Le politiche relative alle password per gli utenti IAM dovrebbero avere configurazioni solide | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Periodic (Periodico) |
| [IAM.8](iam-controls.md#iam-8) | Le credenziali utente IAM non utilizzate devono essere rimosse | Benchmark CIS AWS Foundations v1.2.0, Buone pratiche di sicurezza di AWS base, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [IAM.9](iam-controls.md#iam-9) | L'MFA deve essere abilitata per l'utente root | Benchmark CIS AWS Foundations versione 5.0.0, benchmark CIS Foundations versione 3.0.0, benchmark CIS AWS Foundations versione 1.4.0, benchmark CIS AWS Foundations v1.2.0, NIST SP 800-53 Rev. 5, PCI DSS versione 3.2.1, PCI DSS AWS versione 4.0.1 | CRITICO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [IO SONO 10](iam-controls.md#iam-10) | Le politiche relative alle password per gli utenti IAM devono avere configurazioni solide | NIST SP 800-171 Rev. 2, PCI DSS versione 3.2.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [IAM.11](iam-controls.md#iam-11) | Assicurati che la politica delle password IAM richieda almeno una lettera maiuscola | Benchmark CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS versione 4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [IAM.12](iam-controls.md#iam-12) | Assicurati che la politica delle password IAM richieda almeno una lettera minuscola | Benchmark CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS versione 4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [IAM.13](iam-controls.md#iam-13) | Assicurati che la politica delle password IAM richieda almeno un simbolo | Benchmark CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [IAM.14](iam-controls.md#iam-14) | Assicurati che la politica delle password IAM richieda almeno un numero | Benchmark CIS AWS Foundations versione 1.2.0, NIST SP 800-171 Rev. 2, PCI DSS versione 4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [IAM.15](iam-controls.md#iam-15) | Assicurati che la politica delle password di IAM richieda una lunghezza minima della password pari o superiore a 14 | Benchmark CIS AWS Foundations versione 5.0.0, benchmark CIS Foundations v3.0.0, benchmark CIS AWS Foundations v1.4.0, benchmark CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2 AWS | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [IAM.16](iam-controls.md#iam-16) | Verifica che la policy delle password di IAM impedisca il riutilizzo delle password | Benchmark CIS AWS Foundations v5.0.0, benchmark CIS Foundations v3.0.0, benchmark CIS AWS Foundations v1.4.0, benchmark CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 AWS | BASSO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [IAM.17](iam-controls.md#iam-17) | Assicurati che la policy sulle password di IAM faccia scadere le password entro 90 giorni o meno | Benchmark CIS AWS Foundations v1.2.0, PCI DSS v4.0.1 | BASSO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [IAM.18](iam-controls.md#iam-18) | Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con Supporto AWS | Benchmark CIS AWS Foundations versione 5.0.0, benchmark CIS Foundations v3.0.0, benchmark CIS AWS Foundations v1.4.0, benchmark CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 AWS | BASSO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [IO HO 19 ANNI](iam-controls.md#iam-19) | L'MFA deve essere abilitata per tutti gli utenti IAM | NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS versione 3.2.1, PCI DSS versione 4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [IAM.21](iam-controls.md#iam-21) | Le policy gestite dai clienti IAM che crei non dovrebbero consentire azioni jolly per i servizi | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | BASSO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [IO HO 22 ANNI](iam-controls.md#iam-22) | Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse | Benchmark CIS AWS Foundations versione 5.0.0, benchmark CIS Foundations v3.0.0, benchmark CIS AWS Foundations v1.4.0, NIST SP 800-171 Rev. 2 AWS | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [IO HO 23 ANNI](iam-controls.md#iam-23) | Gli analizzatori IAM Access Analyzer devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [IO HO 24 ANNI](iam-controls.md#iam-24) | I ruoli IAM devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [HO 25 ANNI](iam-controls.md#iam-25) | Gli utenti IAM devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [IO HO 26 ANNI](iam-controls.md#iam-26) | SSL/TLS I certificati scaduti gestiti in IAM devono essere rimossi | Benchmark CIS AWS Foundations v5.0.0, benchmark CIS Foundations v3.0.0 AWS | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [IO SONO 27](iam-controls.md#iam-27) | La policy non dovrebbe essere allegata alle identità IAM AWSCloud ShellFullAccess | Benchmark CIS AWS Foundations v5.0.0, benchmark CIS Foundations v3.0.0 AWS | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [IO HO 28 ANNI](iam-controls.md#iam-28) | L'analizzatore di accesso esterno IAM Access Analyzer deve essere abilitato | Benchmark CIS AWS Foundations v5.0.0, benchmark CIS Foundations v3.0.0 AWS | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [Ispettore.1](inspector-controls.md#inspector-1) | La scansione di Amazon Inspector EC2 deve essere abilitata | AWS Best practice di sicurezza di base, PCI DSS v4.0.1 | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [Ispettore.2](inspector-controls.md#inspector-2) | La scansione ECR di Amazon Inspector deve essere abilitata | AWS Best practice di sicurezza di base, PCI DSS v4.0.1 | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [Ispettore.3](inspector-controls.md#inspector-3) | La scansione del codice Amazon Inspector Lambda deve essere abilitata | AWS Best practice di sicurezza di base, PCI DSS v4.0.1 | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [Ispettore.4](inspector-controls.md#inspector-4) | La scansione standard di Amazon Inspector Lambda deve essere abilitata | AWS Best practice di sicurezza di base, PCI DSS v4.0.1 | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [IoT.1](iot-controls.md#iot-1) | AWS IoT Device Defender i profili di sicurezza devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [IoT.2](iot-controls.md#iot-2) | AWS IoT Core le azioni di mitigazione devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [IoT.3](iot-controls.md#iot-3) | AWS IoT Core le dimensioni devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [IoT.4](iot-controls.md#iot-4) | AWS IoT Core gli autorizzatori devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [IoT.5](iot-controls.md#iot-5) | AWS IoT Core gli alias di ruolo devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [IoT.6](iot-controls.md#iot-6) | AWS IoT Core le politiche devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [TEventsIon 1.](iotevents-controls.md#iotevents-1) | AWS IoT Events gli input devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [TEventsIon 2.](iotevents-controls.md#iotevents-2) | AWS IoT Events i modelli di rilevatori devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [TEventsIon 3.](iotevents-controls.md#iotevents-3) | AWS IoT Events i modelli di allarme devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [Io Wise.1 TSite](iotsitewise-controls.md#iotsitewise-1) | AWS IoT SiteWise i modelli di asset devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [Io Wise.2 TSite](iotsitewise-controls.md#iotsitewise-2) | AWS IoT SiteWise i pannelli di controllo devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [Io Wise.3 TSite](iotsitewise-controls.md#iotsitewise-3) | AWS IoT SiteWise i gateway devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [Io Wise.4 TSite](iotsitewise-controls.md#iotsitewise-4) | AWS IoT SiteWise i portali devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [Io Wise.5 TSite](iotsitewise-controls.md#iotsitewise-5) | AWS IoT SiteWise i progetti devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [Io Maker.1 TTwin](iottwinmaker-controls.md#iottwinmaker-1) | AWS I lavori di TwinMaker sincronizzazione IoT devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [Io Maker.2 TTwin](iottwinmaker-controls.md#iottwinmaker-2) | AWS TwinMaker Gli spazi di lavoro IoT devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [Io TTwin Maker.3](iottwinmaker-controls.md#iottwinmaker-3) | AWS TwinMaker Le scene IoT devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [Io Maker.4 TTwin](iottwinmaker-controls.md#iottwinmaker-4) | AWS TwinMaker Le entità IoT devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [TWirelessIon 1.](iotwireless-controls.md#iotwireless-1) | AWS I gruppi multicast IoT Wireless devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [TWirelessIon 2.](iotwireless-controls.md#iotwireless-2) | AWS I profili dei servizi IoT Wireless devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [TWirelessIon 3.](iotwireless-controls.md#iotwireless-3) | AWS Le attività IOT Wireless FUOTA devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [IVS.1](ivs-controls.md#ivs-1) | Le coppie di chiavi di riproduzione IVS devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [IVS.2](ivs-controls.md#ivs-2) | Le configurazioni di registrazione IVS devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [IVS.3](ivs-controls.md#ivs-3) | I canali IVS devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [Spazi chiavi.1](keyspaces-controls.md#keyspaces-1) | Gli spazi chiave di Amazon Keyspaces devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [Kinesis.1](kinesis-controls.md#kinesis-1) | Gli stream Kinesis devono essere crittografati quando sono inattivi | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [Cinesi.2](kinesis-controls.md#kinesis-2) | Gli stream Kinesis devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [Cinesi.3](kinesis-controls.md#kinesis-3) | I flussi Kinesis devono avere un periodo di conservazione dei dati adeguato | AWS Le migliori pratiche di sicurezza di base | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [KMS.1](kms-controls.md#kms-1) | Le politiche gestite dai clienti IAM non dovrebbero consentire azioni di decrittografia su tutte le chiavi KMS | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [KMS.2](kms-controls.md#kms-2) | I responsabili IAM non dovrebbero disporre di policy IAM in linea che consentano azioni di decrittografia su tutte le chiavi KMS | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [KMS.3](kms-controls.md#kms-3) | AWS KMS keys non deve essere eliminato involontariamente | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | CRITICO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [KMS.4](kms-controls.md#kms-4) | AWS KMS key la rotazione dovrebbe essere abilitata | Benchmark CIS AWS Foundations versione 5.0.0, benchmark CIS Foundations versione 3.0.0, benchmark CIS AWS Foundations versione 1.4.0, benchmark CIS AWS Foundations v1.2.0, NIST SP 800-53 Rev. 5, PCI DSS versione 3.2.1, PCI AWS DSS versione 4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [KMS.5](kms-controls.md#kms-5) | Le chiavi KMS non devono essere accessibili al pubblico | AWS Migliori pratiche di sicurezza di base | CRITICO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [Lambda.1](lambda-controls.md#lambda-1) | Le politiche delle funzioni Lambda dovrebbero vietare l'accesso pubblico | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | CRITICO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [Lambda.2](lambda-controls.md#lambda-2) | Le funzioni Lambda devono utilizzare runtime supportati | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [Lambda.3](lambda-controls.md#lambda-3) | Le funzioni Lambda devono trovarsi in un VPC | PCI DSS versione 3.2.1, NIST SP 800-53 Rev. 5 | BASSO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [Lambda.5](lambda-controls.md#lambda-5) | Le funzioni VPC Lambda devono funzionare in più zone di disponibilità | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [Lambda.6](lambda-controls.md#lambda-6) | Le funzioni Lambda devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [Lambda.7](lambda-controls.md#lambda-7) | Le funzioni Lambda devono avere la traccia AWS X-Ray attiva abilitata | NIST SP 800-53 Rev. 5 | BASSO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [Macie.1](macie-controls.md#macie-1) | Amazon Macie dovrebbe essere abilitato | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [Macie.2](macie-controls.md#macie-2) | Il rilevamento automatico dei dati sensibili di Macie dovrebbe essere abilitato | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [MSK.1](msk-controls.md#msk-1) | I cluster MSK devono essere crittografati durante il transito tra i nodi del broker | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [MSK.2](msk-controls.md#msk-2) | I cluster MSK dovrebbero avere un monitoraggio avanzato configurato | NIST SP 800-53 Rev. 5 | BASSO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [MSK.3](msk-controls.md#msk-3) | I connettori MSK Connect devono essere crittografati durante il transito | AWS Migliori pratiche di sicurezza di base, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [MSK.4](msk-controls.md#msk-4) | L'accesso pubblico ai cluster MSK dovrebbe essere disabilitato | AWS Migliori pratiche di sicurezza di base | CRITICO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [MSK.5](msk-controls.md#msk-5) | I connettori MSK devono avere la registrazione abilitata | AWS Migliori pratiche di sicurezza di base | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [MSK.6](msk-controls.md#msk-6) | I cluster MSK devono disabilitare l'accesso non autenticato | AWS Le migliori pratiche di sicurezza di base | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [MQ. 2](mq-controls.md#mq-2) | I broker ActiveMQ devono trasmettere i log di controllo a CloudWatch | AWS Migliori pratiche di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [MQ.4](mq-controls.md#mq-4) | I broker Amazon MQ devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [MQ.5](mq-controls.md#mq-5) | I broker ActiveMQ devono utilizzare la modalità di distribuzione active/standby | NIST SP 800-53 Rev. 5 | BASSO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [MQ.6](mq-controls.md#mq-6) | I broker RabbitMQ dovrebbero utilizzare la modalità di distribuzione cluster | NIST SP 800-53 Rev. 5 | BASSO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [Nettuno.1](neptune-controls.md#neptune-1) | I cluster Neptune DB devono essere crittografati quando sono inattivi | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [Nettuno.2](neptune-controls.md#neptune-2) | I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [Nettuno.3](neptune-controls.md#neptune-3) | Le istantanee del cluster Neptune DB non devono essere pubbliche | AWS Migliori pratiche di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | CRITICO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [Nettuno.4](neptune-controls.md#neptune-4) | I cluster Neptune DB devono avere la protezione da eliminazione abilitata | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | BASSO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [Nettuno.5](neptune-controls.md#neptune-5) | I cluster Neptune DB devono avere i backup automatici abilitati | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [Nettuno.6](neptune-controls.md#neptune-6) | Le istantanee del cluster Neptune DB devono essere crittografate a riposo | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [Nettuno.7](neptune-controls.md#neptune-7) | I cluster Neptune DB devono avere l'autenticazione del database IAM abilitata | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [Nettuno.8](neptune-controls.md#neptune-8) | I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | BASSO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [Nettuno.9](neptune-controls.md#neptune-9) | I cluster Neptune DB devono essere distribuiti su più zone di disponibilità | NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [NetworkFirewall1](networkfirewall-controls.md#networkfirewall-1). | I firewall Network Firewall devono essere implementati su più zone di disponibilità | NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [NetworkFirewall2.](networkfirewall-controls.md#networkfirewall-2) | La registrazione del Network Firewall deve essere abilitata | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [NetworkFirewall3.](networkfirewall-controls.md#networkfirewall-3) | Le policy del Network Firewall devono avere almeno un gruppo di regole associato | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [NetworkFirewall4.](networkfirewall-controls.md#networkfirewall-4) | L'azione stateless predefinita per le policy di Network Firewall dovrebbe essere «drop or forward» per pacchetti completi. | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [NetworkFirewall5.](networkfirewall-controls.md#networkfirewall-5) | L'azione stateless predefinita per le policy di Network Firewall dovrebbe essere drop or forward per i pacchetti frammentati | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [NetworkFirewall6.](networkfirewall-controls.md#networkfirewall-6) | Il gruppo di regole del firewall di rete stateless non deve essere vuoto | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [NetworkFirewall7.](networkfirewall-controls.md#networkfirewall-7) | I firewall Network Firewall devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [NetworkFirewall8.](networkfirewall-controls.md#networkfirewall-8) | Le politiche firewall del Network Firewall devono essere contrassegnate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [NetworkFirewall9.](networkfirewall-controls.md#networkfirewall-9) | I firewall Network Firewall devono avere la protezione da eliminazione abilitata | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [NetworkFirewall.10](networkfirewall-controls.md#networkfirewall-10) | I firewall Network Firewall devono avere la protezione da cambio di sottorete abilitata | AWS Migliori pratiche di sicurezza di base, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [Opensearch.1](opensearch-controls.md#opensearch-1) | OpenSearch i domini devono avere la crittografia a riposo abilitata | AWS Best practice di sicurezza di base v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [Opensearch.2](opensearch-controls.md#opensearch-2) | OpenSearch i domini non dovrebbero essere accessibili al pubblico | AWS Best practice di sicurezza di base v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | CRITICO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [Opensearch.3](opensearch-controls.md#opensearch-3) | OpenSearch i domini devono crittografare i dati inviati tra i nodi | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [Opensearch.4](opensearch-controls.md#opensearch-4) | OpenSearch la registrazione degli errori di dominio nei CloudWatch registri dovrebbe essere abilitata | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [Opensearch.5](opensearch-controls.md#opensearch-5) | OpenSearch i domini devono avere la registrazione di controllo abilitata | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [Opensearch.6](opensearch-controls.md#opensearch-6) | OpenSearch i domini devono avere almeno tre nodi di dati | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [Opensearch.7](opensearch-controls.md#opensearch-7) | OpenSearch i domini devono avere un controllo granulare degli accessi abilitato | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [Opensearch.8](opensearch-controls.md#opensearch-8) | Le connessioni ai OpenSearch domini devono essere crittografate utilizzando la politica di sicurezza TLS più recente | AWS Migliori pratiche di sicurezza di base, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [Ricerca aperta. 9](opensearch-controls.md#opensearch-9) | OpenSearch i domini devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [Ricerca aperta. 10](opensearch-controls.md#opensearch-10) | OpenSearch nei domini dovrebbe essere installato l'ultimo aggiornamento software | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [Ricerca aperta. 11](opensearch-controls.md#opensearch-11) | OpenSearch i domini devono avere almeno tre nodi primari dedicati | NIST SP 800-53 Rev. 5 | BASSO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [PCA.1](pca-controls.md#pca-1) | AWS Private CA l'autorità di certificazione principale deve essere disabilitata | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | BASSO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [PCA.2](pca-controls.md#pca-2) | AWS Le autorità di certificazione CA private devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [RDS.1](rds-controls.md#rds-1) | L'istantanea RDS deve essere privata | AWS Best practice di sicurezza di base v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | CRITICO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [RDS.2](rds-controls.md#rds-2) | Le istanze DB RDS devono vietare l'accesso pubblico, come stabilito dalla configurazione PubliclyAccessible | Benchmark CIS AWS Foundations v5.0.0, CIS Foundations Benchmark v3.0.0, best practice di sicurezza di AWS base, NIST SP 800-53 Rev. 5, PCI DSS AWS v3.2.1, PCI DSS v4.0.1 | CRITICO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [RDS.3](rds-controls.md#rds-3) | Le istanze DB RDS devono avere la crittografia a riposo abilitata | Benchmark CIS AWS Foundations v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, Foundational Security Best Practices v1.0.0, NIST SP 800-53 AWS Rev. 5 AWS | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [RDS.4](rds-controls.md#rds-4) | Le istantanee del cluster RDS e le istantanee del database devono essere crittografate quando sono inattive | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [RDS.5](rds-controls.md#rds-5) | Le istanze DB RDS devono essere configurate con più zone di disponibilità | Benchmark CIS AWS Foundations v5.0.0, Buone pratiche di sicurezza di AWS base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [RDS.6](rds-controls.md#rds-6) | Il monitoraggio avanzato deve essere configurato per le istanze DB RDS | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [RDS.7](rds-controls.md#rds-7) | I cluster RDS devono avere la protezione da eliminazione abilitata | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [RDS.8](rds-controls.md#rds-8) | Le istanze DB RDS devono avere la protezione da eliminazione abilitata | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | BASSO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [RDS.9](rds-controls.md#rds-9) | Le istanze DB RDS devono pubblicare i log in Logs CloudWatch | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [RDS.10](rds-controls.md#rds-10) | L'autenticazione IAM deve essere configurata per le istanze RDS | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [RDS.11](rds-controls.md#rds-11) | Le istanze RDS devono avere i backup automatici abilitati | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [RDS.12](rds-controls.md#rds-12) | L'autenticazione IAM deve essere configurata per i cluster RDS | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [RDS.13](rds-controls.md#rds-13) | Gli aggiornamenti automatici delle versioni secondarie di RDS devono essere abilitati | Benchmark CIS AWS Foundations v5.0.0, CIS Foundations Benchmark v3.0.0, migliori pratiche di AWS sicurezza di base, NIST SP 800-53 Rev. 5, PCI AWS DSS v4.0.1 | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [RDS.14](rds-controls.md#rds-14) | I cluster Amazon Aurora dovrebbero avere il backtracking abilitato | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [RDS.15](rds-controls.md#rds-15) | I cluster RDS DB devono essere configurati per più zone di disponibilità | Benchmark CIS AWS Foundations v5.0.0, Buone pratiche di sicurezza di AWS base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [RDS.16](rds-controls.md#rds-16) | I cluster Aurora DB devono essere configurati per copiare i tag nelle istantanee DB | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | BASSO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [RDS.17](rds-controls.md#rds-17) | Le istanze DB RDS devono essere configurate per copiare i tag nelle istantanee | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | BASSO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [RDS.18](rds-controls.md#rds-18) | Le istanze RDS devono essere distribuite in un VPC | | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [RDS.19](rds-controls.md#rds-19) | Gli abbonamenti esistenti per la notifica degli eventi RDS devono essere configurati per gli eventi critici del cluster | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | BASSO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [RDS.20](rds-controls.md#rds-20) | Gli abbonamenti esistenti per la notifica degli eventi RDS devono essere configurati per gli eventi critici delle istanze di database | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | BASSO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [RDS.21](rds-controls.md#rds-21) | È necessario configurare un abbonamento alle notifiche di eventi RDS per gli eventi critici del gruppo di parametri del database | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | BASSO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [RDS.22](rds-controls.md#rds-22) | È necessario configurare un abbonamento alle notifiche di eventi RDS per gli eventi critici dei gruppi di sicurezza del database | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | BASSO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [RDS.23](rds-controls.md#rds-23) | Le istanze RDS non devono utilizzare una porta predefinita del motore di database | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | BASSO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [RDS.24](rds-controls.md#rds-24) | I cluster di database RDS devono utilizzare un nome utente di amministratore personalizzato | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [RDS.25](rds-controls.md#rds-25) | Le istanze del database RDS devono utilizzare un nome utente di amministratore personalizzato | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [RDS.26](rds-controls.md#rds-26) | Le istanze DB RDS devono essere protette da un piano di backup | NIST SP 800-53 Rev. 5 | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Periodic (Periodico) |
| [RDS.27](rds-controls.md#rds-27) | I cluster RDS DB devono essere crittografati quando sono inattivi | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [RDS.28](rds-controls.md#rds-28) | I cluster DB RDS devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [RDS.29](rds-controls.md#rds-29) | Le istantanee del cluster RDS DB devono essere contrassegnate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [RDS.30](rds-controls.md#rds-30) | Le istanze DB RDS devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [RDS.31](rds-controls.md#rds-31) | I gruppi di sicurezza RDS DB devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [RDS.32](rds-controls.md#rds-32) | Le istantanee RDS DB devono essere contrassegnate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [RDS.33](rds-controls.md#rds-33) | I gruppi di sottoreti RDS DB devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [RDS.34](rds-controls.md#rds-34) | I cluster Aurora MySQL DB devono pubblicare i log di controllo su Logs CloudWatch | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [RDS.35](rds-controls.md#rds-35) | Nei cluster RDS DB dovrebbe essere abilitato l'aggiornamento automatico delle versioni secondarie | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [RDS.36](rds-controls.md#rds-36) | Le istanze DB di RDS per PostgreSQL devono pubblicare i log in Logs CloudWatch | AWS Best practice di sicurezza di base, PCI DSS v4.0.1 | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [RDS.37](rds-controls.md#rds-37) | I cluster Aurora PostgreSQL DB devono pubblicare i log in Logs CloudWatch | AWS Best practice di sicurezza di base, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [RDS.38](rds-controls.md#rds-38) | Le istanze DB RDS per PostgreSQL devono essere crittografate in transito | AWS Best practice di sicurezza di base | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [RDS.39](rds-controls.md#rds-39) | Le istanze DB RDS per MySQL devono essere crittografate in transito | AWS Le migliori pratiche di sicurezza di base | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [RDS.40](rds-controls.md#rds-40) | Le istanze DB di RDS per SQL Server devono pubblicare i log in Logs CloudWatch | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5 | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [RDS.41](rds-controls.md#rds-41) | Le istanze DB di RDS per SQL Server devono essere crittografate in transito | AWS Best practice di sicurezza di base | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [RDS.42](rds-controls.md#rds-42) | Le istanze RDS per MariaDB DB dovrebbero pubblicare i log su Logs CloudWatch | AWS Migliori pratiche di sicurezza di base, NIST SP 800-53 Rev. 5 | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Periodic (Periodico) |
| [RDS.43](rds-controls.md#rds-43) | I proxy RDS DB devono richiedere la crittografia TLS per le connessioni | AWS Le migliori pratiche di sicurezza di base | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [RDS.44](rds-controls.md#rds-44) | Le istanze RDS per MariaDB DB devono essere crittografate durante il transito | AWS Le migliori pratiche di sicurezza di base | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [RDS.45](rds-controls.md#rds-45) | I cluster Aurora MySQL DB devono avere la registrazione di controllo abilitata | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [RDS.46](rds-controls.md#rds-46) | Le istanze DB RDS non devono essere distribuite in sottoreti pubbliche con percorsi verso i gateway Internet | AWS Le migliori pratiche di sicurezza di base | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [RDS.47](rds-controls.md#rds-47) | I cluster DB RDS per PostgreSQL devono essere configurati per copiare i tag nelle istantanee del DB | AWS Best practice di sicurezza di base | BASSO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [RDS.48](rds-controls.md#rds-48) | I cluster DB RDS per MySQL devono essere configurati per copiare i tag nelle istantanee del DB | AWS Best practice di sicurezza di base | BASSO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [RDS.50](rds-controls.md#rds-50) | È necessario impostare un periodo di conservazione dei backup sufficiente per i cluster RDS DB | AWS Best practice di sicurezza di base v1.0.0 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) Sì | Modifica attivata |
| [Redshift.1](redshift-controls.md#redshift-1) | I cluster Amazon Redshift dovrebbero vietare l'accesso pubblico | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | CRITICO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [Redshift.2](redshift-controls.md#redshift-2) | Le connessioni ai cluster Amazon Redshift devono essere crittografate in transito | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [Redshift.3](redshift-controls.md#redshift-3) | I cluster Amazon Redshift devono avere le istantanee automatiche abilitate | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [Redshift.4](redshift-controls.md#redshift-4) | I cluster Amazon Redshift devono avere la registrazione di controllo abilitata | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [Redshift.6](redshift-controls.md#redshift-6) | Amazon Redshift dovrebbe avere gli upgrade automatici alle versioni principali abilitati | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [Redshift.7](redshift-controls.md#redshift-7) | I cluster Redshift devono utilizzare un routing VPC avanzato | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [Redshift.8](redshift-controls.md#redshift-8) | I cluster Amazon Redshift non devono utilizzare il nome utente di amministratore predefinito | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [Redshift.10](redshift-controls.md#redshift-10) | I cluster Redshift devono essere crittografati quando sono inattivi | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [Redshift.11](redshift-controls.md#redshift-11) | I cluster Redshift devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [Redshift 12](redshift-controls.md#redshift-12) | Le notifiche di sottoscrizione agli eventi Redshift devono essere contrassegnate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [Redshift 13](redshift-controls.md#redshift-13) | Le istantanee del cluster Redshift devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [Redshift 14](redshift-controls.md#redshift-14) | I gruppi di sottoreti del cluster Redshift devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [Redshift 15](redshift-controls.md#redshift-15) | I gruppi di sicurezza Redshift dovrebbero consentire l'accesso alla porta del cluster solo da origini limitate | AWS Best practice di sicurezza di base, PCI DSS v4.0.1 | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [Redshift.16](redshift-controls.md#redshift-16) | I gruppi di sottoreti del cluster Redshift devono avere sottoreti provenienti da più zone di disponibilità | NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [Redshift 17](redshift-controls.md#redshift-17) | I gruppi di parametri del cluster Redshift devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [Redshift 18](redshift-controls.md#redshift-18) | I cluster Redshift devono avere implementazioni Multi-AZ abilitate | AWS Best practice di sicurezza di base | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [RedshiftServerless1](redshiftserverless-controls.md#redshiftserverless-1). | I gruppi di lavoro Serverless di Amazon Redshift devono utilizzare un routing VPC avanzato | AWS Best practice di sicurezza di base | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [RedshiftServerless2.](redshiftserverless-controls.md#redshiftserverless-2) | Le connessioni ai gruppi di lavoro Serverless di Redshift devono essere necessarie per utilizzare SSL. | AWS Best practice di sicurezza di base | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [RedshiftServerless3.](redshiftserverless-controls.md#redshiftserverless-3) | I gruppi di lavoro Serverless di Redshift dovrebbero vietare l'accesso pubblico | AWS Best practice di sicurezza di base | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [RedshiftServerless4.](redshiftserverless-controls.md#redshiftserverless-4) | I namespace Serverless di Redshift devono essere crittografati con gestione del cliente AWS KMS keys | NIST SP 800-53 Rev. 5 | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Periodic (Periodico) |
| [RedshiftServerless5.](redshiftserverless-controls.md#redshiftserverless-5) | I namespace Redshift Serverless non devono utilizzare il nome utente amministratore predefinito | AWS Best practice di sicurezza di base | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [RedshiftServerless6.](redshiftserverless-controls.md#redshiftserverless-6) | I namespace Redshift Serverless devono esportare i log in Logs CloudWatch | AWS Le migliori pratiche di sicurezza di base | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [Percorso 53.1](route53-controls.md#route53-1) | I controlli sanitari della Route 53 devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [Percorso 53.2](route53-controls.md#route53-2) | Le zone ospitate pubbliche di Route 53 devono registrare le query DNS | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [S3.1](s3-controls.md#s3-1) | I bucket S3 per uso generico devono avere le impostazioni di blocco dell'accesso pubblico abilitate | Benchmark CIS AWS Foundations v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, migliori pratiche di sicurezza di AWS base, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI AWS DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [S3.2](s3-controls.md#s3-2) | I bucket S3 per uso generico dovrebbero bloccare l'accesso pubblico alla lettura | AWS Best practice di sicurezza di base, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | CRITICO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata e periodica |
| [S3.3](s3-controls.md#s3-3) | I bucket S3 per uso generico dovrebbero bloccare l'accesso pubblico in scrittura | AWS Best practice di sicurezza di base, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | CRITICO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata e periodica |
| [S3.5](s3-controls.md#s3-5) | I bucket S3 per uso generico dovrebbero richiedere l'utilizzo di SSL | CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, Migliori pratiche di sicurezza di AWS base, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, AWS PCI DSS v3.2.1, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [S3.6](s3-controls.md#s3-6) | Le policy relative ai bucket per uso generico di S3 dovrebbero limitare l'accesso ad altri Account AWS | AWS Migliori pratiche di sicurezza di base, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [S3.7](s3-controls.md#s3-7) | I bucket S3 per uso generico devono utilizzare la replica tra regioni | PCI DSS versione 3.2.1, NIST SP 800-53 Rev. 5 | BASSO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [S3.8](s3-controls.md#s3-8) | I bucket S3 per uso generico dovrebbero bloccare l'accesso pubblico | Benchmark CIS AWS Foundations v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, best practice di sicurezza di AWS base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 AWS | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [S3.9](s3-controls.md#s3-9) | I bucket S3 per uso generico devono avere la registrazione degli accessi al server abilitata | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [S3.10](s3-controls.md#s3-10) | I bucket S3 per uso generico con il controllo delle versioni abilitato devono avere configurazioni del ciclo di vita | NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [S3.11](s3-controls.md#s3-11) | I bucket S3 per uso generico devono avere le notifiche degli eventi abilitate | NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [S3.12](s3-controls.md#s3-12) | ACLs non deve essere utilizzato per gestire l'accesso degli utenti ai bucket generici S3 | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [S3.13](s3-controls.md#s3-13) | I bucket S3 per uso generico devono avere configurazioni del ciclo di vita | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5 | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [S3.14](s3-controls.md#s3-14) | I bucket S3 per uso generico devono avere il controllo delle versioni abilitato | NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | BASSO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [S3.15](s3-controls.md#s3-15) | I bucket S3 per uso generico devono avere Object Lock abilitato | NIST SP 800-53 Rev. 5, PCI DSS versione 4.0.1 | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [S3.17](s3-controls.md#s3-17) | I bucket S3 per uso generico devono essere crittografati quando sono inattivi con AWS KMS keys | NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS versione 4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [S3.19](s3-controls.md#s3-19) | I punti di accesso S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | CRITICO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [S3.20](s3-controls.md#s3-20) | I bucket S3 per uso generico devono avere l'eliminazione MFA abilitata | Benchmark CIS AWS Foundations versione 5.0.0, benchmark CIS Foundations v3.0.0, benchmark CIS AWS Foundations v1.4.0, NIST SP 800-53 Rev. 5 AWS | BASSO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [S3.22](s3-controls.md#s3-22) | I bucket S3 per uso generico dovrebbero registrare gli eventi di scrittura a livello di oggetto | Benchmark CIS AWS Foundations v5.0.0, benchmark CIS Foundations v3.0.0, PCI DSS v4.0.1 AWS | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [S3.23](s3-controls.md#s3-23) | I bucket S3 per uso generico dovrebbero registrare gli eventi di lettura a livello di oggetto | Benchmark CIS AWS Foundations v5.0.0, benchmark CIS Foundations v3.0.0, PCI DSS v4.0.1 AWS | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [S3.24](s3-controls.md#s3-24) | I punti di accesso multiregione S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate | AWS Best practice di sicurezza di base, PCI DSS v4.0.1 | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [S3.25](s3-controls.md#s3-25) | I bucket di directory S3 devono avere configurazioni del ciclo di vita | AWS Best practice di sicurezza di base | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [SageMaker1](sagemaker-controls.md#sagemaker-1). | Le istanze di SageMaker notebook Amazon non devono avere accesso diretto a Internet | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [SageMaker2.](sagemaker-controls.md#sagemaker-2) | SageMaker le istanze dei notebook devono essere avviate in un VPC personalizzato | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [SageMaker3.](sagemaker-controls.md#sagemaker-3) | Gli utenti non devono avere accesso root alle istanze del SageMaker notebook | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [SageMaker4.](sagemaker-controls.md#sagemaker-4) | SageMaker le varianti di produzione endpoint devono avere un numero iniziale di istanze maggiore di 1 | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [SageMaker5.](sagemaker-controls.md#sagemaker-5) | SageMaker i modelli dovrebbero avere l'isolamento della rete abilitato | AWS Migliori pratiche di sicurezza di base | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [SageMaker6.](sagemaker-controls.md#sagemaker-6) | SageMaker le configurazioni delle immagini delle app devono essere contrassegnate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [SageMaker7.](sagemaker-controls.md#sagemaker-7) | SageMaker le immagini devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [SageMaker8.](sagemaker-controls.md#sagemaker-8) | SageMaker le istanze di notebook devono essere eseguite su piattaforme supportate | AWS Best practice di sicurezza di base | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [SageMaker9.](sagemaker-controls.md#sagemaker-9) | SageMaker le definizioni dei lavori relativi alla qualità dei dati dovrebbero avere abilitata la crittografia del traffico tra container | AWS Best practice di sicurezza di base v1.0.0 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [SageMaker.10](sagemaker-controls.md#sagemaker-10) | SageMaker le definizioni dei processi di spiegabilità dei modelli dovrebbero avere abilitata la crittografia del traffico tra container | AWS Best practice di sicurezza di base v1.0.0 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [SageMaker.11](sagemaker-controls.md#sagemaker-11) | SageMaker le definizioni dei lavori relativi alla qualità dei dati dovrebbero avere l'isolamento della rete abilitato | AWS Best practice di sicurezza di base v1.0.0 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [SageMaker1.2](sagemaker-controls.md#sagemaker-12) | SageMaker le definizioni dei job di model bias dovrebbero avere l'isolamento della rete abilitato | AWS Best practice di sicurezza di base v1.0.0 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [SageMaker1.3](sagemaker-controls.md#sagemaker-13) | SageMaker le definizioni dei lavori di qualità del modello dovrebbero avere abilitata la crittografia del traffico tra container | AWS Best practice di sicurezza di base v1.0.0 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [SageMaker1.4](sagemaker-controls.md#sagemaker-14) | SageMaker le pianificazioni di monitoraggio dovrebbero avere l'isolamento della rete abilitato | AWS Best practice di sicurezza di base v1.0.0 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [SageMaker.15](sagemaker-controls.md#sagemaker-15) | SageMaker le definizioni dei job di model bias dovrebbero avere abilitata la crittografia del traffico tra container | AWS Best practice di sicurezza di base v1.0.0 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [SecretsManager1](secretsmanager-controls.md#secretsmanager-1). | I segreti di Secrets Manager devono avere la rotazione automatica abilitata | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [SecretsManager2.](secretsmanager-controls.md#secretsmanager-2) | I segreti di Secrets Manager configurati con rotazione automatica dovrebbero ruotare correttamente | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [SecretsManager3.](secretsmanager-controls.md#secretsmanager-3) | Rimuovi i segreti inutilizzati di Secrets Manager | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5 | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Periodic (Periodico) |
| [SecretsManager4.](secretsmanager-controls.md#secretsmanager-4) | I segreti di Secrets Manager devono essere ruotati entro un determinato numero di giorni | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Periodic (Periodico) |
| [SecretsManager5.](secretsmanager-controls.md#secretsmanager-5) | I segreti di Secrets Manager devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [ServiceCatalog1](servicecatalog-controls.md#servicecatalog-1). | I portafogli Service Catalog devono essere condivisi solo all'interno di un' AWS organizzazione | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [SES.1](ses-controls.md#ses-1) | Gli elenchi di contatti SES devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [SES.2](ses-controls.md#ses-2) | I set di configurazione SES devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [SES.3](ses-controls.md#ses-3) | I set di configurazione SES devono avere TLS abilitato per l'invio di e-mail | AWS Le migliori pratiche di sicurezza di base | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [SNS.1](sns-controls.md#sns-1) | Gli argomenti SNS devono essere crittografati a riposo utilizzando AWS KMS | NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [SNS.3](sns-controls.md#sns-3) | Gli argomenti SNS devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [SNS.4](sns-controls.md#sns-4) | Le politiche di accesso agli argomenti di SNS non dovrebbero consentire l'accesso pubblico | AWS Le migliori pratiche di sicurezza di base | CRITICO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [SQS.1](sqs-controls.md#sqs-1) | Le code Amazon SQS devono essere crittografate quando sono inattive | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [SQS.2](sqs-controls.md#sqs-2) | Le code SQS devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [SQS.3](sqs-controls.md#sqs-3) | Le politiche di accesso alla coda di SQS non dovrebbero consentire l'accesso pubblico | AWS Le migliori pratiche di sicurezza di base | CRITICO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [SSM.1](ssm-controls.md#ssm-1) | Le istanze EC2 devono essere gestite da AWS Systems Manager | AWS Best practice di sicurezza di base v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [SSM.2](ssm-controls.md#ssm-2) | Le istanze EC2 gestite da Systems Manager devono avere uno stato di conformità delle patch pari a CONFORME dopo l'installazione della patch. | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 | HIGH (ELEVATO) | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [SSM.3](ssm-controls.md#ssm-3) | Le istanze EC2 gestite da Systems Manager devono avere uno stato di conformità dell'associazione pari a COMPLIANT | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | BASSO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [SSM.4](ssm-controls.md#ssm-4) | I documenti SSM non devono essere pubblici | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | CRITICO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [SSM.5](ssm-controls.md#ssm-5) | I documenti SSM devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [SSM.6](ssm-controls.md#ssm-6) | SSM Automation dovrebbe avere la registrazione abilitata CloudWatch | AWS Best practice di sicurezza di base v1.0.0 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [SSM.7](ssm-controls.md#ssm-7) | I documenti SSM devono avere l'impostazione di blocco della condivisione pubblica abilitata | AWS Best practice di sicurezza di base v1.0.0 | CRITICO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [StepFunctions1](stepfunctions-controls.md#stepfunctions-1). | Le macchine a stati Step Functions dovrebbero avere la registrazione attivata | AWS Best practice di sicurezza di base v1.0.0, PCI DSS v4.0.1 | MEDIO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [StepFunctions2.](stepfunctions-controls.md#stepfunctions-2) | Le attività di Step Functions devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [Trasferimento.1](transfer-controls.md#transfer-1) | I flussi di lavoro Transfer Family devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [Trasferimento.2](transfer-controls.md#transfer-2) | I server Transfer Family non devono utilizzare il protocollo FTP per la connessione agli endpoint | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [Trasferimento.3](transfer-controls.md#transfer-3) | I connettori Transfer Family devono avere la registrazione abilitata | AWS Migliori pratiche di sicurezza di base, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [Trasferimento.4](transfer-controls.md#transfer-4) | Gli accordi Transfer Family devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [Trasferimento.5](transfer-controls.md#transfer-5) | I certificati Transfer Family devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [Trasferimento.6](transfer-controls.md#transfer-6) | I connettori Transfer Family devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [Trasferimento.7](transfer-controls.md#transfer-7) | I profili Transfer Family devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | ![\[Yes\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-yes.png) Sì | Modifica attivata |
| [WAF.1](waf-controls.md#waf-1) | AWS La registrazione WAF Classic Global Web ACL deve essere abilitata | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [WAF.2](waf-controls.md#waf-2) | AWS Le regole regionali di WAF Classic devono avere almeno una condizione | AWS Migliori pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [WAF.3](waf-controls.md#waf-3) | AWS I gruppi di regole regionali WAF Classic devono avere almeno una regola | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [WAF.4](waf-controls.md#waf-4) | AWS Il web regionale di WAF Classic ACLs dovrebbe avere almeno una regola o un gruppo di regole | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [WAF.6](waf-controls.md#waf-6) | AWS Le regole globali di WAF Classic devono avere almeno una condizione | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [WAF.7](waf-controls.md#waf-7) | AWS I gruppi di regole globali di WAF Classic devono avere almeno una regola | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [WAF.8](waf-controls.md#waf-8) | AWS Il web globale di WAF Classic ACLs dovrebbe avere almeno una regola o un gruppo di regole | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [WAF.10](waf-controls.md#waf-10) | AWS Il web WAF ACLs dovrebbe avere almeno una regola o un gruppo di regole | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [WAF.11](waf-controls.md#waf-11) | AWS La registrazione WAF Web ACL deve essere abilitata | NIST SP 800-53 Rev. 5, PCI DSS versione 4.0.1 | BASSO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Periodic (Periodico) |
| [AF.12](waf-controls.md#waf-12) | AWS Le regole WAF devono avere le metriche abilitate CloudWatch | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [WorkSpaces1](workspaces-controls.md#workspaces-1). | WorkSpaces i volumi utente devono essere crittografati quando sono inattivi | AWS Le migliori pratiche di sicurezza di base | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
| [WorkSpaces2.](workspaces-controls.md#workspaces-2) | WorkSpaces i volumi root devono essere crittografati quando sono inattivi | AWS Le migliori pratiche di sicurezza di base | MEDIO | ![\[No\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/icon-no.png) No | Modifica attivata |
# Registro delle modifiche per i controlli CSPM di Security Hub
Il seguente registro delle modifiche tiene traccia delle modifiche sostanziali ai controlli CSPM esistenti di AWS Security Hub, che possono comportare modifiche allo stato generale di un controllo e allo stato di conformità dei risultati. Per informazioni su come Security Hub CSPM valuta lo stato del controllo, vedere. [Valutazione dello stato di conformità e dello stato di controllo](controls-overall-status.md) Le modifiche possono richiedere alcuni giorni dopo la loro immissione in questo registro per avere effetto su tutte le aree Regioni AWS in cui il controllo è disponibile.
Questo registro tiene traccia delle modifiche avvenute dall'aprile 2023. Scegli un controllo per visualizzare ulteriori dettagli al riguardo. Le modifiche al titolo vengono annotate nella descrizione dettagliata di un controllo per 90 giorni.
| Data di modifica | ID e titolo del controllo | Descrizione della modifica |
| --- | --- | --- |
| 3 aprile 2026 | [[EKS.2] I cluster EKS devono essere eseguiti su una versione Kubernetes supportata](eks-controls.md#eks-2) | Questo controllo verifica se un cluster Amazon EKS viene eseguito su una versione Kubernetes supportata. Security Hub CSPM ha modificato il valore del parametro per questo controllo da a`1.32`. `1.33` Il supporto standard per Kubernetes versione 1.32 in Amazon EKS è terminato il 23 marzo 2026. |
| 3 aprile 2026 | [[Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati](lambda-controls.md#lambda-2) | Il parametro Lambda.2 per i runtime supportati non include più poiché ruby3.2 Lambda ha reso obsoleto questo runtime. |
| 24 marzo 2026 | [[RDS.50] I cluster RDS DB devono avere un periodo di conservazione dei backup sufficiente](rds-controls.md#rds-50) | Security Hub CSPM ha aggiornato il titolo del controllo per indicare che il controllo controlla tutti i cluster DB RDS. |
| 24 marzo 2026 | [[ECS.5] Le definizioni delle attività ECS devono configurare i contenitori in modo che siano limitati all'accesso in sola lettura ai filesystem root](ecs-controls.md#ecs-5) | Security Hub CSPM ha aggiornato il titolo e la descrizione del controllo per indicare che il controllo verifica le definizioni delle attività ECS. Security Hub CSPM ha inoltre aggiornato il controllo per non generare risultati per le definizioni delle attività con `runtimePlatform` configurato per specificare una famiglia di `WINDOWS_SERVER` sistemi operativi. |
| 9 marzo 2026 | [AppSync.1] Le cache delle AWS AppSync API devono essere crittografate quando sono inattive | Security Hub CSPM ha ritirato questo controllo e lo ha rimosso dallo standard [AWS Foundational Security Best Practices (](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html)FSBP). AWS AppSync ora fornisce la crittografia predefinita su tutte le cache API attuali e future. |
| 9 marzo 2026 | [AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito | Security Hub CSPM ha ritirato questo controllo e lo ha rimosso dallo standard [AWS Foundational Security Best Practices (](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html)FSBP). AWS AppSync ora fornisce la crittografia predefinita su tutte le cache API attuali e future. |
| 4 marzo 2026 | [ECS.1] Le definizioni delle attività di Amazon ECS devono avere modalità di rete e definizioni utente sicure | Security Hub CSPM ha ritirato questo controllo e lo ha rimosso dallo standard [AWS Foundational Security Best Practices (FSBP) e dallo standard](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html) [NIST](https://docs.aws.amazon.com/securityhub/latest/userguide/nist-standard.html) SP 800-53 Rev. 5. |
| 5 febbraio 2026 | [[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive](appsync-controls.md#appsync-1) | Security Hub CSPM ritirerà questo controllo e lo rimuoverà da tutti gli standard CSPM Security Hub applicabili il 9 marzo 2026. AWS AppSync fornisce la crittografia predefinita su tutte le cache API attuali e future. |
| 5 febbraio 2026 | [[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito](appsync-controls.md#appsync-6) | Security Hub CSPM ritirerà questo controllo e lo rimuoverà da tutti gli standard CSPM Security Hub applicabili il 9 marzo 2026. AWS AppSync fornisce la crittografia predefinita su tutte le cache API attuali e future. |
| 16 gennaio 2026 | [[ECS.1] Le definizioni delle attività di Amazon ECS devono avere modalità di rete e definizioni utente sicure](ecs-controls.md#ecs-1) | Security Hub CSPM ha comunicato che questo controllo verrà ritirato e rimosso da tutti gli standard CSPM di Security Hub applicabili dopo il 16 febbraio 2026. |
| 12 gennaio 2026 | [[Redshift.4] I cluster Amazon Redshift devono avere la registrazione di controllo abilitata](redshift-controls.md#redshift-4) | Security Hub CSPM ha aggiornato questo controllo per rimuovere il `loggingEnabled` parametro. |
| 12 gennaio 2026 | [MQ.3] I broker Amazon MQ dovrebbero avere abilitato l'aggiornamento automatico delle versioni secondarie | Security Hub CSPM ha ritirato il controllo e lo ha rimosso da tutti gli standard applicabili. Security Hub CSPM ha ritirato il controllo a causa dei requisiti di Amazon MQ per gli aggiornamenti automatici delle versioni minori. [In precedenza, il controllo si applicava allo standard [AWS Foundational Security Best Practices (FSBP), allo standard](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html)[NIST SP 800-53](https://docs.aws.amazon.com/securityhub/latest/userguide/nist-standard.html) Rev. 5 e allo standard PCI DSS v4.0.1.](https://docs.aws.amazon.com/securityhub/latest/userguide/pci-standard.html) |
| 12 gennaio 2026 | [[Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati](lambda-controls.md#lambda-2) | Questo controllo verifica se le impostazioni di runtime per una AWS Lambda funzione corrispondono ai valori previsti per i runtime supportati in ogni lingua. Security Hub CSPM ora supporta `dotnet10` come valore di parametro per questo controllo. AWS Lambda ha aggiunto il supporto per questo runtime. |
| 15 dicembre 2025 | [[Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati](lambda-controls.md#lambda-2) | Questo controllo verifica se le impostazioni di runtime per una AWS Lambda funzione corrispondono ai valori previsti per i runtime supportati in ogni lingua. Security Hub CSPM non supporta più `python3.9` come valore di parametro per questo controllo. AWS Lambda non supporta più questo runtime. |
| 12 dicembre 2025 | [[EKS.2] I cluster EKS devono essere eseguiti su una versione Kubernetes supportata](eks-controls.md#eks-2) | Questo controllo verifica se un cluster Amazon EKS viene eseguito su una versione Kubernetes supportata. Security Hub CSPM ha modificato il valore del parametro per questo controllo da a`1.31`. `1.32` Il supporto standard per Kubernetes versione 1.31 in Amazon EKS è terminato il 26 novembre 2025. |
| 21 novembre 2025 | [[Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati](lambda-controls.md#lambda-2) | Questo controllo verifica se le impostazioni di runtime per una AWS Lambda funzione corrispondono ai valori previsti per i runtime supportati in ogni lingua. Security Hub CSPM ora supporta `nodejs24.x` e `python3.14` come valori dei parametri per questo controllo. AWS Lambda ha aggiunto il supporto per questi runtime. |
| 14 novembre 2025 | [[EC2.15] Le sottoreti Amazon EC2 non devono assegnare automaticamente indirizzi IP pubblici](ec2-controls.md#ec2-15) | Security Hub CSPM ha aggiornato la descrizione e le motivazioni di questo controllo. In precedenza, il controllo controllava solo l'assegnazione automatica degli IP IPv4 pubblici nelle sottoreti Amazon VPC utilizzando il flag. `MapPublicIpOnLaunch` Questo controllo ora verifica sia IPv4 l'assegnazione automatica degli IP IPv6 pubblici che quella degli IP. La descrizione e la motivazione del controllo sono state aggiornate per riflettere queste modifiche. |
| 14 novembre 2025 | [[Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati](lambda-controls.md#lambda-2) | Questo controllo verifica se le impostazioni di runtime per una AWS Lambda funzione corrispondono ai valori previsti per i runtime supportati in ogni lingua. Security Hub CSPM ora supporta `java25` come valore di parametro per questo controllo. AWS Lambda ha aggiunto il supporto per questo runtime. |
| 13 novembre 2025 | [[SNS.4] Le politiche di accesso agli argomenti SNS non dovrebbero consentire l'accesso pubblico](sns-controls.md#sns-4) | Security Hub CSPM ha modificato la gravità di questo controllo da a`HIGH`. `CRITICAL` Consentire l'accesso pubblico agli argomenti di Amazon SNS rappresenta un rischio significativo per la sicurezza. |
| 13 novembre 2025 | [[SQS.3] Le politiche di accesso alla coda SQS non devono consentire l'accesso pubblico](sqs-controls.md#sqs-3) | Security Hub CSPM ha modificato la gravità di questo controllo da a`HIGH`. `CRITICAL` Consentire l'accesso pubblico alle code di Amazon SQS rappresenta un rischio significativo per la sicurezza. |
| 13 novembre 2025 | [[GuardDuty.7] GuardDuty EKS Runtime Monitoring deve essere abilitato](guardduty-controls.md#guardduty-7) | Security Hub CSPM ha modificato la gravità di questo controllo da a`MEDIUM`. `HIGH` Questo tipo di monitoraggio del runtime fornisce un rilevamento avanzato delle minacce per le risorse Amazon EKS. |
| 13 novembre 2025 | [[MQ.3] I broker Amazon MQ dovrebbero avere abilitato l'aggiornamento automatico delle versioni secondarie](mq-controls.md#mq-3) | Security Hub CSPM ha modificato la gravità di questo controllo da a`LOW`. `MEDIUM` Gli aggiornamenti di versione minori includono le patch di sicurezza necessarie per mantenere la sicurezza del broker Amazon MQ. |
| 13 novembre 2025 | [Nei OpenSearch domini [Opensearch.10] deve essere installato l'ultimo aggiornamento software](opensearch-controls.md#opensearch-10) | Security Hub CSPM ha modificato la gravità di questo controllo da a`LOW`. `MEDIUM` Gli aggiornamenti software includono patch di sicurezza necessarie per mantenere OpenSearch la sicurezza del dominio. |
| 13 novembre 2025 | [[RDS.7] I cluster RDS devono avere la protezione da eliminazione abilitata](rds-controls.md#rds-7) | Security Hub CSPM ha modificato la gravità di questo controllo da a`LOW`. `MEDIUM` La protezione dall'eliminazione aiuta a prevenire l'eliminazione accidentale dei database Amazon RDS e l'eliminazione dei database RDS da parte di entità non autorizzate. |
| 13 novembre 2025 | [[CloudTrail.5] i CloudTrail trail devono essere integrati con Amazon Logs CloudWatch](cloudtrail-controls.md#cloudtrail-5) | Security Hub CSPM ha modificato la gravità di questo controllo da a`LOW`. `MEDIUM` AWS CloudTrail i dati di registrazione in Amazon CloudWatch Logs possono essere utilizzati per attività di audit, allarmi e altre importanti operazioni di sicurezza. |
| 13 novembre 2025 | [[ServiceCatalog.1] I portafogli Service Catalog devono essere condivisi solo all'interno di un'organizzazione AWS](servicecatalog-controls.md#servicecatalog-1) | Security Hub CSPM ha modificato la gravità di questo controllo da a`HIGH`. `MEDIUM` La condivisione di AWS Service Catalog portafogli con account specifici potrebbe essere intenzionale e non indica necessariamente che un portafoglio sia accessibile al pubblico. |
| 13 novembre 2025 | [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7) | Security Hub CSPM ha modificato la gravità di questo controllo da a`MEDIUM`. `LOW` I nomi di `cloudfront.net` dominio predefiniti per CloudFront le distribuzioni Amazon vengono generati in modo casuale, il che riduce i rischi per la sicurezza. |
| 13 novembre 2025 | [[ELB.7] I Classic Load Balancer devono avere il drenaggio della connessione abilitato](elb-controls.md#elb-7) | Security Hub CSPM ha modificato la gravità di questo controllo da a`MEDIUM`. `LOW` Nelle implementazioni a più istanze, altre istanze integre possono gestire le sessioni utente quando un'istanza viene terminata senza esaurire la connessione, il che riduce l'impatto operativo e i rischi di disponibilità. |
| 13 novembre 2025 | [[RedshiftServerless.5] Gli spazi dei nomi Redshift Serverless non devono utilizzare il nome utente amministratore predefinito](redshiftserverless-controls.md#redshiftserverless-5) | Security Hub CSPM ha aggiornato questo controllo per rimuovere il parametro opzionale`validAdminUserNames`. |
| 23 ottobre 2025 | [I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati](elasticache-controls.md#elasticache-1) | Security Hub CSPM ha annullato le modifiche apportate al titolo, alla descrizione e alla regola per questo controllo il 14 ottobre 2025. |
| 22 ottobre 2025 | [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1) | Security Hub CSPM ha aggiornato questo controllo per non generare risultati per le CloudFront distribuzioni Amazon che utilizzano origini personalizzate. |
| 16 ottobre 2025 | [[CloudFront.15] CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata](cloudfront-controls.md#cloudfront-15) | Questo controllo verifica se una CloudFront distribuzione Amazon è configurata per utilizzare una politica di sicurezza TLS consigliata. Security Hub CSPM ora supporta `TLSv1.2_2025` e `TLSv1.3_2025` come valori dei parametri per questo controllo. |
| 14 ottobre 2025 | [I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati](elasticache-controls.md#elasticache-1) | Security Hub CSPM ha modificato il titolo, la descrizione e la regola per questo controllo. [In precedenza, il controllo controllava i cluster Redis OSS e tutti i gruppi di replica, utilizzando la regola -backup-check. elasticache-redis-cluster-automatic](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-redis-cluster-automatic-backup-check.html) Il titolo del controllo era: *ElastiCache (Redis OSS*) i cluster dovrebbero avere i backup automatici abilitati. [Questo controllo ora controlla i cluster Valkey oltre ai cluster Redis OSS e tutti i gruppi di replica, utilizzando la regola -enabled. elasticache-automatic-backup-check](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-automatic-backup-check-enabled.html) Il nuovo titolo e la nuova descrizione indicano che il controllo controlla entrambi i tipi di cluster. |
| 5 ottobre 2025 | [Nei OpenSearch domini [Opensearch.10] deve essere installato l'ultimo aggiornamento software](opensearch-controls.md#opensearch-10) | La regola per questo controllo è stata aggiornata per generare anche un `PASSED` risultato se un dominio Amazon OpenSearch Service non ha aggiornamenti software disponibili e lo stato dell'aggiornamento non è idoneo. In precedenza, questo controllo generava un `PASSED` risultato solo se un OpenSearch dominio non aveva aggiornamenti software disponibili e lo stato dell'aggiornamento era completo. |
| 24 settembre 2025 | [Redshift.9] I cluster Redshift non devono utilizzare il nome di database predefinito [RedshiftServerless.7] Gli spazi dei nomi Redshift Serverless non devono utilizzare il nome di database predefinito | Security Hub CSPM ha ritirato questi controlli e li ha rimossi da tutti gli standard applicabili. Security Hub CSPM ha ritirato questi controlli a causa delle limitazioni intrinseche di Amazon Redshift che impedivano l'efficace correzione dei risultati dei controlli. `FAILED` [In precedenza, i controlli si applicavano allo standard [AWS Foundational Security Best Practices (FSBP)](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html) e allo standard NIST SP 800-53 Rev. 5.](https://docs.aws.amazon.com/securityhub/latest/userguide/nist-standard.html) [Il controllo Redshift.9 si applicava anche allo standard gestito dai AWS Control Tower servizi.](https://docs.aws.amazon.com/securityhub/latest/userguide/service-managed-standard-aws-control-tower.html) |
| 9 settembre 2025 | [[Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati](lambda-controls.md#lambda-2) | Questo controllo verifica se le impostazioni di runtime per una AWS Lambda funzione corrispondono ai valori previsti per i runtime supportati in ogni lingua. Security Hub CSPM non supporta più `nodejs18.x` come valore di parametro per questo controllo. AWS Lambda non supporta più i runtime di Node.js 18. |
| 13 agosto 2025 | [[SageMaker.5] i SageMaker modelli devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-5) | Security Hub CSPM ha modificato il titolo e la descrizione di questo controllo. Il nuovo titolo e la nuova descrizione riflettono in modo più accurato che il controllo verifica l'impostazione del `EnableNetworkIsolation` parametro dei modelli ospitati da Amazon SageMaker AI. In precedenza, il titolo di questo controllo era: *SageMaker models should block inbound traffic*. |
| 13 agosto 2025 | [[EFS.6] I target di montaggio EFS non devono essere associati a sottoreti che assegnano indirizzi IP pubblici all'avvio](efs-controls.md#efs-6) | Security Hub CSPM ha modificato il titolo e la descrizione di questo controllo. Il nuovo titolo e la nuova descrizione riflettono in modo più preciso l'ambito e la natura del controllo eseguito dal controllo. In precedenza, il titolo di questo controllo era: *EFS mount targets should not be associated with a public subnet*. |
| 24 luglio 2025 | [[EKS.2] I cluster EKS devono essere eseguiti su una versione Kubernetes supportata](eks-controls.md#eks-2) | Questo controllo verifica se un cluster Amazon EKS viene eseguito su una versione Kubernetes supportata. Security Hub CSPM ha modificato il valore del parametro per questo controllo da a`1.30`. `1.31` Il supporto standard per la versione 1.30 di Kubernetes in Amazon EKS è terminato il 23 luglio 2025. |
| 23 luglio 2025 | [[EC2.173] Le richieste Spot Fleet di EC2 con parametri di avvio devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-173) | Security Hub CSPM ha cambiato il titolo di questo controllo. Il nuovo titolo riflette in modo più accurato che il controllo controlla solo le richieste di Amazon EC2 Spot Fleet che specificano i parametri di lancio. In precedenza, il titolo di questo controllo era: *EC2 Spot Fleet requests should enable encryption for attached EBS volumes*. |
| 30 giugno 2025 | [[IAM.13] Assicurati che la politica delle password IAM richieda almeno un simbolo](iam-controls.md#iam-13) | Security Hub CSPM ha rimosso questo controllo dallo standard [PCI DSS](pci-standard.md) v4.0.1. PCI DSS v4.0.1 non richiede esplicitamente l'uso di simboli nelle password. |
| 30 giugno 2025 | [[IAM.17] Assicurati che la policy sulle password di IAM faccia scadere le password entro 90 giorni o meno](iam-controls.md#iam-17) | Security Hub CSPM ha rimosso questo controllo dallo standard [NIST SP 800-171](standards-reference-nist-800-171.md) Revision 2. NIST SP 800-171 Revisione 2 non richiede esplicitamente periodi di scadenza delle password di 90 giorni o meno. |
| 30 giugno 2025 | [[RDS.16] I cluster Aurora DB devono essere configurati per copiare i tag nelle istantanee del DB](rds-controls.md#rds-16) | Security Hub CSPM ha cambiato il titolo di questo controllo. Il nuovo titolo riflette in modo più accurato che il controllo controlla solo i cluster DB di Amazon Aurora. In precedenza, il titolo di questo controllo era:. *RDS DB clusters should be configured to copy tags to snapshots* |
| 30 giugno 2025 | [[SageMaker.8] le istanze SageMaker notebook devono essere eseguite su piattaforme supportate](sagemaker-controls.md#sagemaker-8) | Questo controllo verifica se un'istanza di notebook Amazon SageMaker AI è configurata per l'esecuzione su una piattaforma supportata, in base all'identificatore della piattaforma specificato per l'istanza del notebook. Security Hub CSPM non supporta più `notebook-al2-v1` e `notebook-al2-v2` come valori dei parametri per questo controllo. Le istanze di notebook eseguite su queste piattaforme hanno raggiunto la fine del supporto il 30 giugno 2025. |
| 30 maggio 2025 | [[IAM.10] Le policy relative alle password per gli utenti IAM devono avere configurazioni solide](iam-controls.md#iam-10) | Security Hub CSPM ha rimosso questo controllo dallo standard [PCI DSS](pci-standard.md) v4.0.1. Questo controllo verifica se le politiche relative alle password degli account per gli utenti IAM soddisfano i requisiti minimi, inclusa una lunghezza minima della password di 7 caratteri. PCI DSS v4.0.1 ora richiede che le password abbiano un minimo di 8 caratteri. Il controllo continua ad applicarsi allo standard PCI DSS v3.2.1, che ha requisiti di password diversi. [Per valutare le politiche relative alle password degli account rispetto ai requisiti PCI DSS v4.0.1, è possibile utilizzare il controllo IAM.7.](iam-controls.md#iam-7) Questo controllo richiede che le password abbiano un minimo di 8 caratteri. Supporta anche valori personalizzati per la lunghezza della password e altri parametri. Il controllo IAM.7 fa parte dello standard PCI DSS v4.0.1 in Security Hub CSPM. |
| 8 maggio 2025 | [RDS.46] Le istanze DB RDS non devono essere distribuite in sottoreti pubbliche con percorsi verso i gateway Internet | Security Hub CSPM ha ripristinato completamente il rilascio del controllo RDS.46. Regioni AWS In precedenza, questo controllo supportava lo standard AWS Foundational Security Best Practices (FSBP). |
| 7 aprile 2025 | [[ELB.17] Gli Application and Network Load Balancer con listener devono utilizzare le politiche di sicurezza consigliate](elb-controls.md#elb-17) | Questo controllo verifica se il listener HTTPS per un Application Load Balancer o il listener TLS per un Network Load Balancer è configurato per crittografare i dati in transito utilizzando una politica di sicurezza consigliata. Security Hub CSPM ora supporta due valori di parametro aggiuntivi per questo controllo: `ELBSecurityPolicy-TLS13-1-2-Res-2021-06` e. `ELBSecurityPolicy-TLS13-1-2-Res-FIPS-2023-04` |
| 27 marzo 2025 | [[Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati](lambda-controls.md#lambda-2) | Questo controllo verifica se le impostazioni di runtime per una AWS Lambda funzione corrispondono ai valori previsti per i runtime supportati in ogni lingua. Security Hub CSPM ora supporta `ruby3.4` come valore di parametro per questo controllo. AWS Lambda ha aggiunto il supporto per questo runtime. |
| 26 marzo 2025 | [[EKS.2] I cluster EKS devono essere eseguiti su una versione Kubernetes supportata](eks-controls.md#eks-2) | Questo controllo verifica se un cluster Amazon Elastic Kubernetes Service (Amazon EKS) viene eseguito su una versione di Kubernetes supportata. Per il `oldestVersionSupported` parametro, Security Hub CSPM ha modificato il valore da a`1.29`. `1.30` La versione più vecchia di Kubernetes supportata è ora. `1.30` |
| 10 marzo 2025 | [[Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati](lambda-controls.md#lambda-2) | Questo controllo verifica se le impostazioni di runtime per una AWS Lambda funzione corrispondono ai valori previsti per i runtime supportati in ogni lingua. Security Hub CSPM non supporta più `dotnet6` e `python3.8` come valori dei parametri per questo controllo. AWS Lambda non supporta più questi runtime. |
| 7 marzo 2025 | [[RDS.18] Le istanze RDS devono essere distribuite in un VPC](rds-controls.md#rds-18) | Security Hub CSPM ha rimosso questo controllo dallo standard AWS Foundational Security Best Practices e dai controlli automatici per i requisiti NIST SP 800-53 Rev. 5. Da quando il networking Amazon EC2-Classic è stato ritirato, le istanze di Amazon Relational Database Service (Amazon RDS) non possono più essere distribuite all'esterno di un VPC. [Il controllo continua a far parte dello standard di gestione dei servizi.AWS Control Tower](service-managed-standard-aws-control-tower.md) |
| 10 gennaio 2025 | [Glue.2] I lavori AWS Glue dovrebbero avere la registrazione abilitata | Security Hub CSPM ha ritirato questo controllo e lo ha rimosso da tutti gli standard. |
| 20 dicembre 2024 | Da EC2.61 a EC2.169 | Security Hub CSPM ha ripristinato la versione dei controlli da EC2.61 a EC2.169. |
| 12 dicembre 2024 | [[RDS.23] Le istanze RDS non devono utilizzare una porta predefinita del motore di database](rds-controls.md#rds-23) | RDS.23 verifica se un cluster o un'istanza di Amazon Relational Database Service (Amazon RDS) utilizza una porta diversa dalla porta predefinita del motore di database. Abbiamo aggiornato il controllo in modo che la AWS Config regola sottostante restituisca un risultato di NOT\$1APPLICABLE per le istanze RDS che fanno parte di un cluster. |
| 2 dicembre 2024 | [[Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati](lambda-controls.md#lambda-2) | Lambda.2 verifica se le impostazioni delle AWS Lambda funzioni per i runtime corrispondono ai valori previsti impostati per i runtime supportati in ogni lingua. Security Hub CSPM ora supporta nodejs22.x come parametro. |
| 26 novembre 2024 | [[EKS.2] I cluster EKS devono essere eseguiti su una versione Kubernetes supportata](eks-controls.md#eks-2) | Questo controllo verifica se un cluster Amazon Elastic Kubernetes Service (Amazon EKS) viene eseguito su una versione di Kubernetes supportata. La versione più vecchia supportata è ora. 1.29 |
| 20 novembre 2024 | [[Config.1] AWS Config deve essere abilitato e utilizzare il ruolo collegato al servizio per la registrazione delle risorse](config-controls.md#config-1) | Config.1 verifica se AWS Config è abilitato, utilizza il ruolo collegato al servizio e registra le risorse per i controlli abilitati. Security Hub CSPM ha aumentato la severità di questo controllo da a`MEDIUM`. `CRITICAL` Security Hub CSPM ha inoltre aggiunto [nuovi codici di stato e motivi di stato per i risultati](controls-findings-create-update.md#control-findings-asff-compliance) falliti di Config.1. Queste modifiche riflettono l'importanza di Config.1 per il funzionamento dei controlli CSPM di Security Hub. Se la registrazione delle risorse è disattivata, è possibile ricevere risultati di controllo imprecisi. AWS Config Per ricevere un `PASSED` risultato per Config.1, attiva la registrazione delle risorse per le risorse che corrispondono ai controlli CSPM di Security Hub abilitati e disabilita i controlli che non sono richiesti nella tua organizzazione. Per istruzioni sulla configurazione AWS Config per Security Hub CSPM, vedere. [Abilitazione e configurazione AWS Config per Security Hub CSPM](securityhub-setup-prereqs.md) Per un elenco dei controlli CSPM di Security Hub e delle relative risorse, vedere. [AWS Config Risorse necessarie per i risultati del controllo](controls-config-resources.md) |
| 12 novembre 2024 | [[Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati](lambda-controls.md#lambda-2) | Lambda.2 verifica se le impostazioni delle AWS Lambda funzioni per i runtime corrispondono ai valori previsti impostati per i runtime supportati in ogni lingua. Security Hub CSPM ora supporta python3.13 come parametro. |
| 11 ottobre 2024 | ElastiCache controlli | Titoli di controllo modificati per ElastiCache .3, ElastiCache .4, ElastiCache .5 e .7. ElastiCache I titoli non menzionano più Redis OSS perché i controlli si applicano anche a Valkey. ElastiCache |
| 27 settembre 2024 | [[ELB.4] L'Application Load Balancer deve essere configurato per eliminare le intestazioni http non valide](elb-controls.md#elb-4) | Il titolo di controllo modificato da Application Load Balancer deve essere configurato per eliminare le intestazioni http su Application Load Balancer deve essere configurato per eliminare le intestazioni http non valide. |
| 19 agosto 2024 | Modifiche al titolo e ai controlli di DMS.12 ElastiCache | Titoli di controllo modificati per DMS.12 e da DMS.1 a .7. ElastiCache ElastiCache Abbiamo modificato questi titoli per riflettere un cambio di nome nel servizio Amazon ElastiCache (Redis OSS). |
| 15 agosto 2024 | [[Config.1] AWS Config deve essere abilitato e utilizzare il ruolo collegato al servizio per la registrazione delle risorse](config-controls.md#config-1) | Config.1 verifica se AWS Config è abilitato, utilizza il ruolo collegato al servizio e registra le risorse per i controlli abilitati. Security Hub CSPM ha aggiunto un parametro di controllo personalizzato denominato. includeConfigServiceLinkedRoleCheck Impostando questo parametro sufalse, è possibile scegliere di non verificare se AWS Config utilizza il ruolo collegato al servizio. |
| 31 luglio 2024 | [[IoT.1] i profili di AWS IoT Device Defender sicurezza devono essere etichettati](iot-controls.md#iot-1) | Il titolo di controllo modificato dai profili AWS IoT Core di sicurezza deve essere taggato ai profili AWS IoT Device Defender di sicurezza devono essere etichettati. |
| 29 luglio 2024 | [[Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati](lambda-controls.md#lambda-2) | Lambda.2 verifica se le impostazioni delle AWS Lambda funzioni per i runtime corrispondono ai valori previsti impostati per i runtime supportati in ogni lingua. Security Hub CSPM non supporta più nodejs16.x come parametro. |
| 29 luglio 2024 | [[EKS.2] I cluster EKS devono essere eseguiti su una versione Kubernetes supportata](eks-controls.md#eks-2) | Questo controllo verifica se un cluster Amazon Elastic Kubernetes Service (Amazon EKS) viene eseguito su una versione di Kubernetes supportata. La versione più vecchia supportata è. 1.28 |
| 25 giugno 2024 | [[Config.1] AWS Config deve essere abilitato e utilizzare il ruolo collegato al servizio per la registrazione delle risorse](config-controls.md#config-1) | Questo controllo verifica se AWS Config è abilitato, utilizza il ruolo collegato al servizio e registra le risorse per i controlli abilitati. Security Hub CSPM ha aggiornato il titolo del controllo per riflettere ciò che il controllo valuta. |
| 14 giugno 2024 | [[RDS.34] I cluster Aurora MySQL DB devono pubblicare i log di controllo nei registri CloudWatch](rds-controls.md#rds-34) | Questo controllo verifica se un cluster Amazon Aurora MySQL DB è configurato per pubblicare log di audit su Amazon Logs. CloudWatch Security Hub CSPM ha aggiornato il controllo in modo che non generasse risultati per i cluster DB Aurora Serverless v1. |
| 11 giugno 2024 | [[EKS.2] I cluster EKS devono essere eseguiti su una versione Kubernetes supportata](eks-controls.md#eks-2) | Questo controllo verifica se un cluster Amazon Elastic Kubernetes Service (Amazon EKS) viene eseguito su una versione di Kubernetes supportata. La versione più vecchia supportata è. 1.27 |
| 10 giugno 2024 | [[Config.1] AWS Config deve essere abilitato e utilizzare il ruolo collegato al servizio per la registrazione delle risorse](config-controls.md#config-1) | Questo controllo verifica se AWS Config è abilitato e la registrazione AWS Config delle risorse è attivata. In precedenza, il controllo produceva un PASSED risultato solo se si configurava la registrazione per tutte le risorse. Security Hub CSPM ha aggiornato il controllo per produrre un PASSED risultato quando la registrazione è attivata per le risorse necessarie per i controlli abilitati. Il controllo è stato inoltre aggiornato per verificare se viene utilizzato il ruolo AWS Config collegato al servizio, che fornisce le autorizzazioni per registrare le risorse necessarie. |
| 8 maggio 2024 | [[S3.20] I bucket S3 per uso generico devono avere l'eliminazione MFA abilitata](s3-controls.md#s3-20) | Questo controllo verifica se un bucket con versione generica di Amazon S3 è abilitata l'eliminazione dell'autenticazione a più fattori (MFA). In precedenza, il controllo produceva una FAILED ricerca di bucket con una configurazione del ciclo di vita. Tuttavia, l'eliminazione MFA con controllo delle versioni non può essere abilitata su un bucket con una configurazione del ciclo di vita. Security Hub CSPM ha aggiornato il controllo per non produrre risultati per i bucket con una configurazione del ciclo di vita. La descrizione del controllo è stata aggiornata per riflettere il comportamento corrente. |
| 2 maggio 2024 | [[EKS.2] I cluster EKS devono essere eseguiti su una versione Kubernetes supportata](eks-controls.md#eks-2) | Security Hub CSPM ha aggiornato la versione più vecchia supportata di Kubernetes su cui può essere eseguito il cluster Amazon EKS per produrre un risultato superato. La versione più vecchia attualmente supportata è Kubernetes. 1.26 |
| 30 aprile 2024 | [[CloudTrail.3] Almeno un trail deve essere abilitato CloudTrail](cloudtrail-controls.md#cloudtrail-3) | Il titolo di controllo modificato da CloudTrail dovrebbe essere abilitato a Dovrebbe essere abilitato almeno un CloudTrail percorso. Questo controllo attualmente produce un PASSED risultato se un Account AWS ha almeno un CloudTrail percorso abilitato. Il titolo e la descrizione sono stati modificati per riflettere accuratamente il comportamento attuale. |
| 29 aprile 2024 | [[AutoScaling.1] I gruppi di Auto Scaling associati a un sistema di bilanciamento del carico devono utilizzare i controlli di integrità ELB](autoscaling-controls.md#autoscaling-1) | La modifica del titolo di controllo dai gruppi Auto Scaling associati a un Classic Load Balancer dovrebbe utilizzare i controlli dello stato del bilanciamento del carico, mentre i gruppi Auto Scaling associati a un sistema di bilanciamento del carico dovrebbero utilizzare i controlli di integrità ELB. Questo controllo attualmente valuta Application, Gateway, Network e Classic Load Balancer. Il titolo e la descrizione sono stati modificati per riflettere accuratamente il comportamento corrente. |
| 19 aprile 2024 | [[CloudTrail.1] CloudTrail deve essere abilitato e configurato con almeno un percorso multiregionale che includa eventi di gestione di lettura e scrittura](cloudtrail-controls.md#cloudtrail-1) | Il controllo verifica se AWS CloudTrail è abilitato e configurato con almeno un percorso multiregionale che include eventi di gestione di lettura e scrittura. In precedenza, il controllo generava erroneamente PASSED i risultati quando un account aveva CloudTrail abilitato e configurato almeno un percorso multiregionale, anche se nessun trail includeva eventi di gestione di lettura e scrittura. Il controllo ora genera un PASSED risultato solo quando CloudTrail è abilitato e configurato con almeno un percorso multiregionale che acquisisce gli eventi di gestione di lettura e scrittura. |
| 10 aprile 2024 | [Athena.1] I gruppi di lavoro Athena devono essere crittografati quando sono inattivi | Security Hub CSPM ha ritirato questo controllo e lo ha rimosso da tutti gli standard. I gruppi di lavoro Athena inviano i log ai bucket Amazon Simple Storage Service (Amazon S3). Amazon S3 ora fornisce la crittografia predefinita con chiavi gestite S3 (SS3-S3) su bucket S3 nuovi ed esistenti. |
| 10 aprile 2024 | [AutoScaling.4] La configurazione di avvio del gruppo Auto Scaling non deve avere un limite di hop di risposta ai metadati superiore a 1 | Security Hub CSPM ha ritirato questo controllo e lo ha rimosso da tutti gli standard. I limiti degli hop di risposta ai metadati per le istanze Amazon Elastic Compute Cloud (Amazon EC2) dipendono dal carico di lavoro. |
| 10 aprile 2024 | [CloudFormation.1] gli CloudFormation stack devono essere integrati con Simple Notification Service (SNS) | Security Hub CSPM ha ritirato questo controllo e lo ha rimosso da tutti gli standard. L'integrazione degli AWS CloudFormation stack con gli argomenti di Amazon SNS non è più una best practice di sicurezza. Sebbene l'integrazione di CloudFormation stack importanti con argomenti SNS possa essere utile, non è necessaria per tutti gli stack. |
| 10 aprile 2024 | [CodeBuild.5] gli ambienti di CodeBuild progetto non dovrebbero avere la modalità privilegiata abilitata | Security Hub CSPM ha ritirato questo controllo e lo ha rimosso da tutti gli standard. L'attivazione della modalità privilegiata in un CodeBuild progetto non comporta un rischio aggiuntivo per l'ambiente del cliente. |
| 10 aprile 2024 | [IAM.20] Evita l'uso dell'utente root | Security Hub CSPM ha ritirato questo controllo e lo ha rimosso da tutti gli standard. Lo scopo di questo controllo è coperto da un altro controllo,. [[CloudWatch.1] Dovrebbero esistere un filtro logmetrico e un allarme per l'utilizzo da parte dell'utente «root»](cloudwatch-controls.md#cloudwatch-1) |
| 10 aprile 2024 | [SNS.2] La registrazione dello stato di consegna deve essere abilitata per i messaggi di notifica inviati a un argomento | Security Hub CSPM ha ritirato questo controllo e lo ha rimosso da tutti gli standard. La registrazione dello stato di consegna per gli argomenti SNS non è più una best practice di sicurezza. Sebbene la registrazione dello stato di consegna per importanti argomenti SNS possa essere utile, non è necessaria per tutti gli argomenti. |
| 10 aprile 2024 | [[S3.10] I bucket generici S3 con il controllo delle versioni abilitato devono avere configurazioni del ciclo di vita](s3-controls.md#s3-10) | Security Hub CSPM ha rimosso questo controllo da AWS Foundational Security Best Practices e Service-Managed Standard:. AWS Control Tower Lo scopo di questo controllo è coperto da altri due controlli: e. [[S3.13] I bucket generici S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-13) [[S3.14] I bucket generici S3 devono avere il controllo delle versioni abilitato](s3-controls.md#s3-14) Questo controllo fa ancora parte del NIST SP 800-53 Rev. 5. |
| 10 aprile 2024 | [[S3.11] I bucket generici S3 devono avere le notifiche degli eventi abilitate](s3-controls.md#s3-11) | Security Hub CSPM ha rimosso questo controllo da AWS Foundational Security Best Practices e Service-Managed Standard:. AWS Control Tower Sebbene ci siano alcuni casi in cui le notifiche di eventi per i bucket S3 sono utili, questa non è una best practice di sicurezza universale. Questo controllo fa ancora parte del NIST SP 800-53 Rev. 5. |
| 10 aprile 2024 | [[SNS.1] Gli argomenti SNS devono essere crittografati quando sono inattivi utilizzando AWS KMS](sns-controls.md#sns-1) | Security Hub CSPM ha rimosso questo controllo da AWS Foundational Security Best Practices e Service-Managed Standard:. AWS Control Tower Per impostazione predefinita, SNS crittografa gli argomenti inattivi con la crittografia del disco. Per ulteriori informazioni, consulta [Crittografia dei dati](https://docs.aws.amazon.com/sns/latest/dg/sns-data-encryption.html). L'utilizzo AWS KMS per crittografare gli argomenti non è più consigliato come best practice di sicurezza. Questo controllo fa ancora parte di NIST SP 800-53 Rev. 5. |
| 8 aprile 2024 | [[ELB.6] Application, Gateway e Network Load Balancer devono avere la protezione da eliminazione abilitata](elb-controls.md#elb-6) | Il titolo di controllo modificato dalla protezione da eliminazione di Application Load Balancer deve essere abilitato a Application, Gateway e Network Load Balancer dovrebbe avere la protezione da eliminazione abilitata. Questo controllo attualmente valuta Application, Gateway e Network Load Balancer. Il titolo e la descrizione sono stati modificati per riflettere accuratamente il comportamento attuale. |
| 22 marzo 2024 | [[Opensearch.8] Le connessioni ai OpenSearch domini devono essere crittografate utilizzando la più recente politica di sicurezza TLS](opensearch-controls.md#opensearch-8) | Il titolo di controllo modificato da Connessioni ai OpenSearch domini deve essere crittografato utilizzando TLS 1.2 a Le connessioni ai OpenSearch domini devono essere crittografate utilizzando la più recente politica di sicurezza TLS. In precedenza, il controllo controllava solo se le connessioni ai OpenSearch domini utilizzavano TLS 1.2. Il controllo ora consente di determinare se i OpenSearch domini sono crittografati utilizzando la più recente politica di sicurezza TLS. PASSED Il titolo e la descrizione del controllo sono stati aggiornati per riflettere il comportamento corrente. |
| 22 marzo 2024 | [[ES.8] Le connessioni ai domini Elasticsearch devono essere crittografate utilizzando la più recente politica di sicurezza TLS](es-controls.md#es-8) | Il titolo di controllo modificato da Connessioni ai domini Elasticsearch deve essere crittografato utilizzando TLS 1.2 a Connessioni ai domini Elasticsearch deve essere crittografato utilizzando la politica di sicurezza TLS più recente. In precedenza, il controllo controllava solo se le connessioni ai domini Elasticsearch utilizzavano TLS 1.2. Il controllo ora determina se i domini Elasticsearch sono crittografati utilizzando la più recente politica di sicurezza TLS. PASSED Il titolo e la descrizione del controllo sono stati aggiornati per riflettere il comportamento corrente. |
| 12 marzo 2024 | [[S3.1] I bucket generici S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-1) | Il titolo modificato dall'impostazione S3 Block Public Access deve essere abilitato ai bucket generici S3 devono avere le impostazioni di accesso pubblico a blocchi abilitate. Security Hub CSPM ha cambiato il titolo per tenere conto di un nuovo tipo di bucket S3. |
| 12 marzo 2024 | [[S3.2] I bucket S3 per uso generico dovrebbero bloccare l'accesso pubblico in lettura](s3-controls.md#s3-2) | Il titolo modificato dei bucket S3 dovrebbe proibire l'accesso pubblico in lettura ai bucket S3 per uso generico e dovrebbe bloccare l'accesso pubblico in lettura. Security Hub CSPM ha cambiato il titolo per tenere conto di un nuovo tipo di bucket S3. |
| 12 marzo 2024 | [[S3.3] I bucket generici S3 dovrebbero bloccare l'accesso pubblico in scrittura](s3-controls.md#s3-3) | Il titolo modificato dei bucket S3 dovrebbe proibire l'accesso pubblico in scrittura ai bucket S3 per uso generico e dovrebbe bloccare l'accesso pubblico in scrittura. Security Hub CSPM ha cambiato il titolo per tenere conto di un nuovo tipo di bucket S3. |
| 12 marzo 2024 | [[S3.5] I bucket S3 per uso generico devono richiedere l'utilizzo di SSL](s3-controls.md#s3-5) | Il titolo modificato dai bucket S3 dovrebbe richiedere le richieste di utilizzo di Secure Socket Layer, mentre i bucket S3 per uso generico dovrebbero richiedere richieste di utilizzo di SSL. Security Hub CSPM ha cambiato il titolo per tenere conto di un nuovo tipo di bucket S3. |
| 12 marzo 2024 | [[S3.6] Le policy generiche relative ai bucket di S3 dovrebbero limitare l'accesso ad altri Account AWS](s3-controls.md#s3-6) | Il titolo modificato dalle autorizzazioni S3 concesse ad altre politiche Account AWS in bucket dovrebbe essere limitato alle policy dei bucket per uso generale di S3. Le policy relative ai bucket dovrebbero limitare l'accesso ad altri. Account AWS Security Hub CSPM ha cambiato il titolo per tenere conto di un nuovo tipo di bucket S3. |
| 12 marzo 2024 | [[S3.7] I bucket S3 per uso generico devono utilizzare la replica tra regioni](s3-controls.md#s3-7) | Il titolo modificato dei bucket S3 dovrebbe avere la replica tra regioni abilitata, mentre i bucket S3 per uso generico dovrebbero utilizzare la replica tra regioni. Security Hub CSPM ha cambiato il titolo per tenere conto di un nuovo tipo di bucket S3. |
| 12 marzo 2024 | [[S3.7] I bucket S3 per uso generico devono utilizzare la replica tra regioni](s3-controls.md#s3-7) | Il titolo modificato dei bucket S3 dovrebbe avere la replica tra regioni abilitata, mentre i bucket S3 per uso generico dovrebbero utilizzare la replica tra regioni. Security Hub CSPM ha cambiato il titolo per tenere conto di un nuovo tipo di bucket S3. |
| 12 marzo 2024 | [[S3.8] I bucket generici S3 dovrebbero bloccare l'accesso pubblico](s3-controls.md#s3-8) | Il titolo modificato dall'impostazione S3 Block Public Access deve essere abilitato a livello di bucket, mentre i bucket S3 per uso generico devono bloccare l'accesso pubblico. Security Hub CSPM ha cambiato il titolo per tenere conto di un nuovo tipo di bucket S3. |
| 12 marzo 2024 | [[S3.9] I bucket generici S3 devono avere la registrazione degli accessi al server abilitata](s3-controls.md#s3-9) | Il titolo modificato dalla registrazione degli accessi al server del bucket S3 deve essere abilitato in La registrazione dell'accesso al server deve essere abilitata per i bucket S3 per uso generico. Security Hub CSPM ha cambiato il titolo per tenere conto di un nuovo tipo di bucket S3. |
| 12 marzo 2024 | [[S3.10] I bucket generici S3 con il controllo delle versioni abilitato devono avere configurazioni del ciclo di vita](s3-controls.md#s3-10) | Il titolo modificato dai bucket S3 con il controllo delle versioni abilitato dovrebbe avere politiche del ciclo di vita configurate in bucket S3 per uso generico con il controllo delle versioni abilitato dovrebbero avere configurazioni del ciclo di vita. Security Hub CSPM ha cambiato il titolo per tenere conto di un nuovo tipo di bucket S3. |
| 12 marzo 2024 | [[S3.11] I bucket generici S3 devono avere le notifiche degli eventi abilitate](s3-controls.md#s3-11) | Il titolo modificato dei bucket S3 dovrebbe avere le notifiche degli eventi abilitate, mentre i bucket S3 per uso generico dovrebbero avere le notifiche degli eventi abilitate. Security Hub CSPM ha cambiato il titolo per tenere conto di un nuovo tipo di bucket S3. |
| 12 marzo 2024 | [[S3.12] non ACLs deve essere usato per gestire l'accesso degli utenti ai bucket generici S3](s3-controls.md#s3-12) | Il titolo modificato dagli elenchi di controllo degli accessi S3 (ACLs) non deve essere utilizzato per gestire l'accesso degli utenti ai bucket né per gestire l'accesso degli utenti ai ACLs bucket S3 per uso generico. Security Hub CSPM ha cambiato il titolo per tenere conto di un nuovo tipo di bucket S3. |
| 12 marzo 2024 | [[S3.13] I bucket generici S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-13) | Il titolo modificato dei bucket S3 dovrebbe avere politiche del ciclo di vita configurate in base ai bucket S3 per uso generico e i bucket S3 dovrebbero avere configurazioni del ciclo di vita. Security Hub CSPM ha cambiato il titolo per tenere conto di un nuovo tipo di bucket S3. |
| 12 marzo 2024 | [[S3.14] I bucket generici S3 devono avere il controllo delle versioni abilitato](s3-controls.md#s3-14) | Il titolo modificato dai bucket S3 dovrebbe utilizzare il controllo delle versioni, mentre i bucket S3 per uso generico dovrebbero avere il controllo delle versioni abilitato. Security Hub CSPM ha cambiato il titolo per tenere conto di un nuovo tipo di bucket S3. |
| 12 marzo 2024 | [[S3.15] I bucket generici S3 devono avere Object Lock abilitato](s3-controls.md#s3-15) | Il titolo modificato dai bucket S3 deve essere configurato per utilizzare Object Lock, mentre i bucket S3 per uso generico devono avere Object Lock abilitato. Security Hub CSPM ha cambiato il titolo per tenere conto di un nuovo tipo di bucket S3. |
| 12 marzo 2024 | [[S3.17] I bucket generici S3 devono essere crittografati quando sono inattivi con AWS KMS keys](s3-controls.md#s3-17) | Il titolo modificato dai bucket S3 deve essere crittografato con i bucket inattivi con i bucket S3 AWS KMS keys per uso generico con. AWS KMS keys Security Hub CSPM ha cambiato il titolo per tenere conto di un nuovo tipo di bucket S3. |
| 7 marzo 2024 | [[Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati](lambda-controls.md#lambda-2) | Lambda.2 verifica se le impostazioni delle AWS Lambda funzioni per i runtime corrispondono ai valori previsti impostati per i runtime supportati in ogni lingua. Security Hub CSPM ora supporta nodejs20.x e ruby3.3 come parametri. |
| 22 febbraio 2024 | [[Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati](lambda-controls.md#lambda-2) | Lambda.2 verifica se le impostazioni delle AWS Lambda funzioni per i runtime corrispondono ai valori previsti impostati per i runtime supportati in ogni lingua. Security Hub CSPM ora supporta dotnet8 come parametro. |
| 5 febbraio 2024 | [[EKS.2] I cluster EKS devono essere eseguiti su una versione Kubernetes supportata](eks-controls.md#eks-2) | Security Hub CSPM ha aggiornato la versione più vecchia supportata di Kubernetes su cui può essere eseguito il cluster Amazon EKS per produrre un risultato superato. La versione più vecchia attualmente supportata è Kubernetes. 1.25 |
| 10 gennaio 2024 | [[CodeBuild.1] L'archivio dei sorgenti di CodeBuild Bitbucket non URLs deve contenere credenziali sensibili](codebuild-controls.md#codebuild-1) | Il titolo modificato da CodeBuild GitHub o utilizzato dal repository di origine Bitbucket in L'archivio di origine di CodeBuild Bitbucket URLs non deve OAuth contenere credenziali sensibili. URLs Security Hub CSPM ha rimosso la menzione OAuth perché anche altri metodi di connessione possono essere sicuri. Security Hub CSPM ha rimosso la menzione GitHub perché non è più possibile avere un token di accesso personale o un nome utente e una password nell'archivio dei GitHub sorgenti. URLs |
| 8 gennaio 2024 | [[Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati](lambda-controls.md#lambda-2) | Lambda.2 verifica se le impostazioni delle AWS Lambda funzioni per i runtime corrispondono ai valori previsti impostati per i runtime supportati in ogni lingua. Security Hub CSPM non supporta più go1.x e java8 come parametri perché si tratta di runtime ritirati. |
| 29 dicembre 2023 | [[RDS.8] Le istanze DB RDS devono avere la protezione da eliminazione abilitata](rds-controls.md#rds-8) | RDS.8 verifica se un'istanza Amazon RDS DB che utilizza uno dei motori di database supportati ha la protezione da eliminazione abilitata. Security Hub CSPM ora supporta custom-oracle-ee e oracle-se2-cdb come motori di database. oracle-ee-cdb |
| 22 dicembre 2023 | [[Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati](lambda-controls.md#lambda-2) | Lambda.2 verifica se le impostazioni delle AWS Lambda funzioni per i runtime corrispondono ai valori previsti impostati per i runtime supportati in ogni lingua. Security Hub CSPM ora supporta java21 e python3.12 come parametri. Security Hub CSPM non supporta più ruby2.7 come parametro. |
| 15 dicembre 2023 | [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1) | CloudFront.1 verifica se una CloudFront distribuzione Amazon ha un oggetto root predefinito configurato. Security Hub CSPM ha ridotto la severità di questo controllo da CRITICAL a HIGH perché l'aggiunta dell'oggetto root predefinito è una raccomandazione che dipende dall'applicazione dell'utente e dai requisiti specifici. |
| 5 dicembre 2023 | [[EC2.13] I gruppi di sicurezza non devono consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 22](ec2-controls.md#ec2-13) | Il titolo di controllo modificato dai gruppi di sicurezza non dovrebbe consentire l'ingresso da 0.0.0.0/0 alla porta 22 a I gruppi di sicurezza non dovrebbero consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 22. |
| 5 dicembre 2023 | [[EC2.14] I gruppi di sicurezza non dovrebbero consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 3389](ec2-controls.md#ec2-14) | Titolo di controllo modificato da Assicura che i gruppi di sicurezza non consentano l'ingresso dalla porta 0.0.0.0/0 alla porta 3389 a I gruppi di sicurezza non dovrebbero consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 3389. |
| 5 dicembre 2023 | [[RDS.9] Le istanze DB RDS devono pubblicare i log nei registri CloudWatch](rds-controls.md#rds-9) | Il titolo di controllo modificato dalla registrazione del database deve essere abilitato alle istanze DB RDS. Le istanze DB devono pubblicare i registri nei registri. CloudWatch Security Hub CSPM ha rilevato che questo controllo verifica solo se i log sono pubblicati su Amazon CloudWatch Logs e non verifica se i log RDS sono abilitati. Il controllo rileva se le istanze DB RDS sono configurate per pubblicare log su Logs. PASSED CloudWatch Il titolo del controllo è stato aggiornato per riflettere il comportamento corrente. |
| 5 dicembre 2023 | [[EKS.8] I cluster EKS devono avere la registrazione di controllo abilitata](eks-controls.md#eks-8) | Questo controllo verifica se i cluster Amazon EKS hanno abilitato la registrazione di audit. La AWS Config regola utilizzata da Security Hub CSPM per valutare questo controllo è stata modificata da aeks-cluster-logging-enabled. eks-cluster-log-enabled |
| 17 novembre 2023 | [[EC2.19] I gruppi di sicurezza non devono consentire l'accesso illimitato alle porte ad alto rischio](ec2-controls.md#ec2-19) | EC2.19 verifica se il traffico in entrata senza restrizioni per un gruppo di sicurezza è accessibile alle porte specificate considerate ad alto rischio. Security Hub CSPM ha aggiornato questo controllo per tenere conto degli elenchi di prefissi gestiti quando vengono forniti come origine per una regola del gruppo di sicurezza. Il controllo rileva se gli elenchi di FAILED prefissi contengono le stringhe '0.0.0.0/0' o ': :/0'. |
| 16 novembre 2023 | [[CloudWatch.15] gli CloudWatch allarmi devono avere azioni specificate configurate](cloudwatch-controls.md#cloudwatch-15) | Il titolo di controllo modificato dagli CloudWatch allarmi dovrebbe avere un'azione configurata per lo stato ALARM, mentre gli allarmi dovrebbero avere delle azioni specificate configurate. CloudWatch |
| 16 novembre 2023 | [[CloudWatch.16] i gruppi di CloudWatch log devono essere conservati per un periodo di tempo specificato](cloudwatch-controls.md#cloudwatch-16) | Il titolo di controllo modificato dei gruppi di CloudWatch log deve essere conservato per almeno 1 anno, mentre i gruppi di CloudWatch log devono essere conservati per un periodo di tempo specificato. |
| 16 novembre 2023 | [[Lambda.5] Le funzioni VPC Lambda devono funzionare in più zone di disponibilità](lambda-controls.md#lambda-5) | Il titolo di controllo modificato dalle funzioni VPC Lambda deve funzionare in più di una zona di disponibilità, mentre le funzioni VPC Lambda devono funzionare in più zone di disponibilità. |
| 16 novembre 2023 | [[AppSync.2] AWS AppSync dovrebbe avere la registrazione a livello di campo abilitata](appsync-controls.md#appsync-2) | La modifica del titolo di controllo da AWS AppSync dovrebbe avere la registrazione a livello di richiesta e di campo attivata a dovrebbe avere la registrazione a livello di campo abilitata.AWS AppSync |
| 16 novembre 2023 | [[EMR.1] I nodi primari del cluster Amazon EMR non devono avere indirizzi IP pubblici](emr-controls.md#emr-1) | Il titolo di controllo modificato dai nodi master MapReduce del cluster Amazon Elastic non dovrebbe avere indirizzi IP pubblici, mentre i nodi primari del cluster Amazon EMR non dovrebbero avere indirizzi IP pubblici. |
| 16 novembre 2023 | [I OpenSearch domini [Opensearch.2] non devono essere accessibili al pubblico](opensearch-controls.md#opensearch-2) | Il titolo di controllo modificato dai OpenSearch domini dovrebbe essere in un VPC, in quanto i domini non dovrebbero essere accessibili OpenSearch al pubblico. |
| 16 novembre 2023 | [[ES.2] I domini Elasticsearch non devono essere accessibili al pubblico](es-controls.md#es-2) | Il titolo di controllo modificato dai domini Elasticsearch dovrebbe essere in un VPC, mentre i domini Elasticsearch non dovrebbero essere accessibili al pubblico. |
| 31 ottobre 2023 | [[ES.4] La registrazione degli errori del dominio Elasticsearch nei log deve essere abilitata CloudWatch](es-controls.md#es-4) | ES.4 verifica se i domini Elasticsearch sono configurati per inviare log di errore ad Amazon Logs. CloudWatch Il controllo in precedenza produceva una PASSED ricerca per un dominio Elasticsearch con tutti i log configurati per l'invio a Logs. CloudWatch Security Hub CSPM ha aggiornato il controllo per produrre un PASSED risultato solo per un dominio Elasticsearch configurato per inviare i log degli errori ai registri. CloudWatch Il controllo è stato inoltre aggiornato per escludere dalla valutazione le versioni di Elasticsearch che non supportano i log degli errori. |
| 16 ottobre 2023 | [[EC2.13] I gruppi di sicurezza non devono consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 22](ec2-controls.md#ec2-13) | EC2.13 verifica se i gruppi di sicurezza consentono l'accesso illimitato in ingresso alla porta 22. Security Hub CSPM ha aggiornato questo controllo per tenere conto degli elenchi di prefissi gestiti quando vengono forniti come origine per una regola del gruppo di sicurezza. Il controllo rileva se gli elenchi di FAILED prefissi contengono le stringhe '0.0.0.0/0' o ': :/0'. |
| 16 ottobre 2023 | [[EC2.14] I gruppi di sicurezza non dovrebbero consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 3389](ec2-controls.md#ec2-14) | EC2.14 verifica se i gruppi di sicurezza consentono l'accesso illimitato in ingresso alla porta 3389. Security Hub CSPM ha aggiornato questo controllo per tenere conto degli elenchi di prefissi gestiti quando vengono forniti come origine per una regola del gruppo di sicurezza. Il controllo rileva se gli elenchi di FAILED prefissi contengono le stringhe '0.0.0.0/0' o ': :/0'. |
| 16 ottobre 2023 | [[EC2.18] I gruppi di sicurezza devono consentire il traffico in entrata senza restrizioni solo per le porte autorizzate](ec2-controls.md#ec2-18) | EC2.18 verifica se i gruppi di sicurezza in uso consentono il traffico in entrata senza restrizioni. Security Hub CSPM ha aggiornato questo controllo per tenere conto degli elenchi di prefissi gestiti quando vengono forniti come origine per una regola del gruppo di sicurezza. Il controllo rileva se gli elenchi di FAILED prefissi contengono le stringhe '0.0.0.0/0' o ': :/0'. |
| 16 ottobre 2023 | [[Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati](lambda-controls.md#lambda-2) | Lambda.2 verifica se le impostazioni delle AWS Lambda funzioni per i runtime corrispondono ai valori previsti impostati per i runtime supportati in ogni lingua. Security Hub CSPM ora supporta python3.11 come parametro. |
| 4 ottobre 2023 | [[S3.7] I bucket S3 per uso generico devono utilizzare la replica tra regioni](s3-controls.md#s3-7) | Security Hub CSPM ha aggiunto il parametro ReplicationType con un valore pari CROSS-REGION a per garantire che nei bucket S3 sia abilitata la replica tra regioni anziché la replica nella stessa regione. |
| 27 settembre 2023 | [[EKS.2] I cluster EKS devono essere eseguiti su una versione Kubernetes supportata](eks-controls.md#eks-2) | Security Hub CSPM ha aggiornato la versione più vecchia supportata di Kubernetes su cui può essere eseguito il cluster Amazon EKS per produrre un risultato superato. La versione più vecchia attualmente supportata è Kubernetes. 1.24 |
| 20 settembre 2023 | [CloudFront.2] le CloudFront distribuzioni devono avere l'identità di accesso all'origine abilitata | Security Hub CSPM ha ritirato questo controllo e lo ha rimosso da tutti gli standard. Altrimenti, consulta [[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine](cloudfront-controls.md#cloudfront-13). Il controllo degli accessi Origin è l'attuale best practice di sicurezza. Questo controllo verrà rimosso dalla documentazione entro 90 giorni. |
| 20 settembre 2023 | [[EC2.22] I gruppi di sicurezza Amazon EC2 non utilizzati devono essere rimossi](ec2-controls.md#ec2-22) | Security Hub CSPM ha rimosso questo controllo da AWS Foundational Security Best Practices (FSBP) e National Institute of Standards and Technology (NIST) SP 800-53 Rev. 5. Fa ancora parte di Service-Managed Standard:. AWS Control Tower Questo controllo produce un risultato positivo se i gruppi di sicurezza sono collegati a istanze EC2 o a un'interfaccia di rete elastica. Tuttavia, in alcuni casi d'uso, i gruppi di sicurezza non collegati non rappresentano un rischio per la sicurezza. Puoi utilizzare altri controlli EC2, come EC2.2, EC2.13, EC2.14, EC2.18 ed EC2.19, per monitorare i tuoi gruppi di sicurezza. |
| 20 settembre 2023 | [EC2.29] Le istanze EC2 devono essere avviate in un VPC | Security Hub CSPM ha ritirato questo controllo e lo ha rimosso da tutti gli standard. Amazon EC2 ha migrato le istanze EC2 Classic su un VPC. Questo controllo verrà rimosso dalla documentazione entro 90 giorni. |
| 20 settembre 2023 | [S3.4] I bucket S3 devono avere abilitata la crittografia lato server | Security Hub CSPM ha ritirato questo controllo e lo ha rimosso da tutti gli standard. Amazon S3 ora fornisce la crittografia predefinita con chiavi gestite S3 (SS3-S3) su bucket S3 nuovi ed esistenti. Le impostazioni di crittografia sono invariate per i bucket esistenti crittografati con la crittografia lato server -S3 o -KMS. SS3 SS3 Questo controllo verrà rimosso dalla documentazione entro 90 giorni. |
| 14 settembre 2023 | [[EC2.2] I gruppi di sicurezza VPC predefiniti non dovrebbero consentire il traffico in entrata o in uscita](ec2-controls.md#ec2-2) | Titolo di controllo modificato da Il gruppo di sicurezza predefinito VPC non dovrebbe consentire il traffico in entrata e in uscita ai gruppi di sicurezza predefiniti VPC non dovrebbe consentire il traffico in entrata o in uscita. |
| 14 settembre 2023 | [[IAM.9] L'MFA deve essere abilitata per l'utente root](iam-controls.md#iam-9) | Il titolo di controllo modificato da Virtual MFA deve essere abilitato per l'utente root a MFA deve essere abilitato per l'utente root. |
| 14 settembre 2023 | [[RDS.19] Le sottoscrizioni esistenti per le notifiche di eventi RDS devono essere configurate per gli eventi critici del cluster](rds-controls.md#rds-19) | Titolo di controllo modificato da Un abbonamento per le notifiche di eventi RDS deve essere configurato per gli eventi critici del cluster a Gli abbonamenti di notifica degli eventi RDS esistenti devono essere configurati per gli eventi critici del cluster. |
| 14 settembre 2023 | [[RDS.20] Le sottoscrizioni di notifica degli eventi RDS esistenti devono essere configurate per gli eventi critici delle istanze di database](rds-controls.md#rds-20) | Titolo di controllo modificato da Un abbonamento alle notifiche di eventi RDS deve essere configurato per gli eventi critici delle istanze di database Gli abbonamenti di notifica degli eventi RDS esistenti devono essere configurati per gli eventi critici delle istanze di database. |
| 14 settembre 2023 | [[WAF.2] Le regole regionali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-2) | Il titolo di controllo modificato da una regola regionale WAF dovrebbe avere almeno una condizione, mentre le regole regionali AWS WAF classiche dovrebbero avere almeno una condizione. |
| 14 settembre 2023 | [[WAF.3] I gruppi di regole regionali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-3) | Il titolo di controllo modificato da Un gruppo di regole regionali WAF dovrebbe avere almeno una regola, mentre i gruppi di regole regionali AWS WAF classici dovrebbero avere almeno una regola. |
| 14 settembre 2023 | [[WAF.4] Il sito Web regionale AWS WAF classico ACLs deve avere almeno una regola o un gruppo di regole](waf-controls.md#waf-4) | Il titolo di controllo modificato da Un ACL Web regionale WAF dovrebbe avere almeno una regola o un gruppo di regole a un sito Web regionale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole. |
| 14 settembre 2023 | [[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6) | Il titolo di controllo modificato da una regola globale WAF dovrebbe avere almeno una condizione, mentre le regole globali AWS WAF classiche dovrebbero avere almeno una condizione. |
| 14 settembre 2023 | [[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7) | Il titolo di controllo modificato da Un gruppo di regole globale WAF dovrebbe avere almeno una regola, mentre i gruppi di regole globali AWS WAF Classic dovrebbero avere almeno una regola. |
| 14 settembre 2023 | [[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8) | Titolo di controllo modificato da Un ACL web globale WAF dovrebbe avere almeno una regola o un gruppo di regole a AWS WAF Classic global Web ACLs dovrebbe avere almeno una regola o un gruppo di regole. |
| 14 settembre 2023 | [[WAF.10] AWS WAF web ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-10) | Il titolo di controllo modificato da Un ACL WAFv2 web dovrebbe avere almeno una regola o un gruppo di regole, mentre il AWS WAF web ACLs dovrebbe avere almeno una regola o un gruppo di regole. |
| 14 settembre 2023 | [[WAF.11] La registrazione AWS WAF web ACL deve essere abilitata](waf-controls.md#waf-11) | Il titolo di controllo modificato dalla registrazione ACL Web AWS WAF v2 deve essere attivato e la registrazione ACL AWS WAF Web deve essere abilitata. |
| 20 luglio 2023 | [S3.4] I bucket S3 devono avere abilitata la crittografia lato server | S3.4 verifica se un bucket Amazon S3 ha la crittografia lato server abilitata o se la policy del bucket S3 nega esplicitamente le richieste senza crittografia lato server. PutObject Security Hub CSPM ha aggiornato questo controllo per includere la crittografia lato server a doppio livello con chiavi KMS (DSSE-KMS). Il controllo produce un risultato superato quando un bucket S3 viene crittografato con SSE-S3, SSE-KMS o DSSE-KMS. |
| 17 luglio 2023 | [[S3.17] I bucket generici S3 devono essere crittografati quando sono inattivi con AWS KMS keys](s3-controls.md#s3-17) | S3.17 verifica se un bucket Amazon S3 è crittografato con un. AWS KMS key Security Hub CSPM ha aggiornato questo controllo per includere la crittografia lato server a doppio livello con chiavi KMS (DSSE-KMS). Il controllo produce un risultato superato quando un bucket S3 viene crittografato con SSE-KMS o DSSE-KMS. |
| 9 giugno 2023 | [[EKS.2] I cluster EKS devono essere eseguiti su una versione Kubernetes supportata](eks-controls.md#eks-2) | EKS.2 verifica se un cluster Amazon EKS è in esecuzione su una versione di Kubernetes supportata. La versione più vecchia supportata è ora. 1.23 |
| 9 giugno 2023 | [[Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati](lambda-controls.md#lambda-2) | Lambda.2 verifica se le impostazioni delle AWS Lambda funzioni per i runtime corrispondono ai valori previsti impostati per i runtime supportati in ogni lingua. Security Hub CSPM ora supporta ruby3.2 come parametro. |
| 5 giugno 2023 | [[APIGateway.5] I dati della cache dell'API REST di API Gateway devono essere crittografati quando sono inattivi](apigateway-controls.md#apigateway-5) | APIGateway.5.verifica se tutti i metodi nelle fasi dell'API REST di Amazon API Gateway sono crittografati a riposo. Security Hub CSPM ha aggiornato il controllo per valutare la crittografia di un particolare metodo solo quando la memorizzazione nella cache è abilitata per quel metodo. |
| 18 maggio 2023 | [[Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati](lambda-controls.md#lambda-2) | Lambda.2 verifica se le impostazioni delle AWS Lambda funzioni per i runtime corrispondono ai valori previsti impostati per i runtime supportati in ogni lingua. Security Hub CSPM ora supporta java17 come parametro. |
| 18 maggio 2023 | [[Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati](lambda-controls.md#lambda-2) | Lambda.2 verifica se le impostazioni delle AWS Lambda funzioni per i runtime corrispondono ai valori previsti impostati per i runtime supportati in ogni lingua. Security Hub CSPM non supporta più nodejs12.x come parametro. |
| 23 aprile 2023 | [[ECS.10] I servizi ECS Fargate devono essere eseguiti sulla versione più recente della piattaforma Fargate](ecs-controls.md#ecs-10) | ECS.10 verifica se i servizi Amazon ECS Fargate eseguono l'ultima versione della piattaforma Fargate. I clienti possono implementare Amazon ECS tramite ECS direttamente o utilizzando. CodeDeploy Security Hub CSPM ha aggiornato questo controllo per produrre risultati Passed da utilizzare CodeDeploy per distribuire i servizi ECS Fargate. |
| 20 aprile 2023 | [[S3.6] Le policy generiche relative ai bucket di S3 dovrebbero limitare l'accesso ad altri Account AWS](s3-controls.md#s3-6) | S3.6 verifica se una policy sui bucket di Amazon Simple Storage Service (Amazon S3) impedisce ai principali di eseguire azioni Account AWS negate sulle risorse nel bucket S3. Security Hub CSPM ha aggiornato il controllo per tenere conto dei condizionali in una policy bucket. |
| 18 aprile 2023 | [[Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati](lambda-controls.md#lambda-2) | Lambda.2 verifica se le impostazioni delle AWS Lambda funzioni per i runtime corrispondono ai valori previsti impostati per i runtime supportati in ogni lingua. Security Hub CSPM ora supporta python3.10 come parametro. |
| 18 aprile 2023 | [[Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati](lambda-controls.md#lambda-2) | Lambda.2 verifica se le impostazioni delle AWS Lambda funzioni per i runtime corrispondono ai valori previsti impostati per i runtime supportati in ogni lingua. Security Hub CSPM non supporta più dotnetcore3.1 come parametro. |
| 17 aprile 2023 | [[RDS.11] Le istanze RDS devono avere i backup automatici abilitati](rds-controls.md#rds-11) | RDS.11 verifica se nelle istanze Amazon RDS sono abilitati i backup automatici, con un periodo di conservazione dei backup maggiore o uguale a sette giorni. Security Hub CSPM ha aggiornato questo controllo per escludere le repliche di lettura dalla valutazione, poiché non tutti i motori supportano i backup automatici sulle repliche di lettura. Inoltre, RDS non offre la possibilità di specificare un periodo di conservazione dei backup durante la creazione di repliche di lettura. Le repliche di lettura vengono create con un periodo di conservazione dei backup di 0 default. |
# Controlli CSPM Security Hub per Account AWS
Questi controlli CSPM di Security Hub valutano. Account AWS
Questi controlli potrebbero non essere disponibili in tutti. Regioni AWS Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [Account.1] Le informazioni di contatto di sicurezza devono essere fornite per un Account AWS
**Requisiti correlati:** CIS AWS Foundations Benchmark v5.0.0/1.2, NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2 (2)
**Categoria**: Identificazione > Configurazione delle risorse
**Gravità:** media
**Tipo di risorsa:** `AWS::::Account`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/security-account-information-provided.html](https://docs.aws.amazon.com/config/latest/developerguide/security-account-information-provided.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se un account Amazon Web Services (AWS) dispone di informazioni di contatto di sicurezza. Il controllo fallisce se non vengono fornite informazioni di contatto di sicurezza per l'account.
I contatti di sicurezza alternativi consentono di contattare un'altra persona in merito AWS a problemi relativi al tuo account nel caso in cui tu non sia disponibile. Le notifiche possono provenire da Supporto o da altri Servizio AWS team su argomenti relativi alla sicurezza associati al tuo utilizzo. Account AWS
### Correzione
*Per aggiungere un contatto alternativo come contatto di sicurezza al tuo Account AWS, consulta [Aggiornare i contatti alternativi per te Account AWS nella Guida di riferimento per la gestione](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-contact-alternate.html) dell'AWS account.*
## [Account.2] Account AWS deve far parte di un'organizzazione AWS Organizations
**Categoria:** Protezione > Gestione sicura degli accessi > Controllo degli accessi
**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2
**Gravità:** alta
**Tipo di risorsa:** `AWS::::Account`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/account-part-of-organizations.html](https://docs.aws.amazon.com/config/latest/developerguide/account-part-of-organizations.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se un Account AWS fa parte di un'organizzazione gestita tramite AWS Organizations. Il controllo ha esito negativo se l'account non fa parte di un'organizzazione.
Organizations ti aiuta a gestire centralmente il tuo ambiente man mano che ridimensioni i carichi di lavoro. AWSÈ possibile utilizzarne più Account AWS di uno per isolare i carichi di lavoro con requisiti di sicurezza specifici o per conformarsi a framework come HIPAA o PCI. Creando un'organizzazione, puoi amministrare più account come una singola unità e gestirne centralmente l'accesso, le risorse e le regioni. Servizi AWS
### Correzione
Per creare una nuova organizzazione e Account AWS aggiungerla automaticamente, consulta [Creazione di un'organizzazione](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_create.html) nella *Guida per l'AWS Organizations utente*. Per aggiungere account a un'organizzazione esistente, vedi [Invitare un utente Account AWS a entrare a far parte della tua organizzazione](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html) nella *Guida per l'AWS Organizations utente*.
# Controlli CSPM Security Hub per AWS Amplify
Questi controlli CSPM di Security Hub valutano il AWS Amplify servizio e le risorse. I controlli potrebbero non essere disponibili in tutti. Regioni AWS Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [Amplify.1] Le app Amplify devono essere taggate
**Categoria: Identificazione > Inventario > Etichettatura**
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::Amplify::App`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/amplify-app-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/amplify-app-tagged.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Un elenco di chiavi di tag non di sistema che devono essere assegnate a una risorsa valutata. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un' AWS Amplify app ha le chiavi dei tag specificate dal `requiredKeyTags` parametro. Il controllo fallisce se l'app non ha alcuna chiave di tag o non ha tutte le chiavi specificate dal `requiredKeyTags` parametro. Se non specificate alcun valore per il `requiredKeyTags` parametro, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'app non dispone di chiavi di tag. Il controllo ignora i tag di sistema, che vengono applicati automaticamente e hanno il `aws:` prefisso.
Un tag è un'etichetta creata e assegnata a una risorsa. AWS Ogni tag è composto da una chiave di tag obbligatoria e da un valore di tag opzionale. È possibile utilizzare i tag per classificare le risorse in base allo scopo, al proprietario, all'ambiente o ad altri criteri. Possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. Possono anche aiutarti a tenere traccia delle azioni e delle notifiche dei proprietari delle risorse. Puoi anche utilizzare i tag per implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione. *Per ulteriori informazioni sulle strategie ABAC, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella IAM User Guide.* Per ulteriori informazioni sui tag, consulta la Guida per l'utente di [Tagging AWS Resources and Tag Editor](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**Nota**
Non memorizzare informazioni personali identificabili o altre informazioni riservate o sensibili nei tag. I tag sono accessibili da molti Servizi AWS. Non sono destinati a essere utilizzati per dati privati o sensibili.
### Correzione
Per informazioni sull'aggiunta di tag a un' AWS Amplify app, consulta [Supporto per il tagging delle risorse](https://docs.aws.amazon.com/amplify/latest/userguide/resource-tagging-support-chapter.html) nella *Guida per l'utente AWS Amplify di hosting*.
## [Amplify.2] I rami Amplify devono essere etichettati
**Categoria: Identificazione > Inventario > Etichettatura**
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::Amplify::Branch`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/amplify-branch-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/amplify-branch-tagged.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Un elenco di chiavi di tag non di sistema che devono essere assegnate a una risorsa valutata. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un AWS Amplify ramo ha le chiavi dei tag specificate dal `requiredKeyTags` parametro. Il controllo ha esito negativo se il ramo non ha alcuna chiave di tag o non ha tutte le chiavi specificate dal `requiredKeyTags` parametro. Se non specificate alcun valore per il `requiredKeyTags` parametro, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il ramo non ha alcuna chiave di tag. Il controllo ignora i tag di sistema, che vengono applicati automaticamente e hanno il `aws:` prefisso.
Un tag è un'etichetta creata e assegnata a una risorsa. AWS Ogni tag è composto da una chiave di tag obbligatoria e da un valore di tag opzionale. È possibile utilizzare i tag per classificare le risorse in base allo scopo, al proprietario, all'ambiente o ad altri criteri. Possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. Possono anche aiutarti a tenere traccia delle azioni e delle notifiche dei proprietari delle risorse. Puoi anche utilizzare i tag per implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione. *Per ulteriori informazioni sulle strategie ABAC, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella IAM User Guide.* Per ulteriori informazioni sui tag, consulta la Guida per l'utente di [Tagging AWS Resources and Tag Editor](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**Nota**
Non memorizzare informazioni personali identificabili o altre informazioni riservate o sensibili nei tag. I tag sono accessibili da molti Servizi AWS. Non sono destinati a essere utilizzati per dati privati o sensibili.
### Correzione
Per informazioni sull'aggiunta di tag a una AWS Amplify filiale, consulta il [supporto per l'etichettatura delle risorse](https://docs.aws.amazon.com/amplify/latest/userguide/resource-tagging-support-chapter.html) nella *Guida per l'utente AWS Amplify di hosting*.
# Controlli CSPM del Security Hub per Amazon API Gateway
Questi AWS Security Hub CSPM controlli valutano il servizio e le risorse di Amazon API Gateway. I controlli potrebbero non essere disponibili tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [APIGateway.1] API Gateway REST e la registrazione dell'esecuzione dell' WebSocket API devono essere abilitati
**Requisiti correlati:** NIST.800-53.r5 AC-4 (26), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-7 (8)
**Categoria:** Identificazione > Registrazione
**Gravità:** media
`AWS::ApiGateway::Stage`Tipo di risorsa**:**, `AWS::ApiGatewayV2::Stage`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/api-gw-execution-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-execution-logging-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| `loggingLevel` | Livello di logging | Enum | `ERROR`, `INFO` | `No default value` |
Questo controllo verifica se la registrazione è abilitata in tutte le fasi di un'API o REST di Amazon WebSocket API Gateway. Il controllo fallisce se `loggingLevel` non lo è `ERROR` o `INFO` per tutte le fasi dell'API. A meno che non si forniscano valori di parametro personalizzati per indicare che un tipo di registro specifico deve essere abilitato, Security Hub CSPM produce un risultato valido se il livello di registrazione è o. `ERROR` `INFO`
API Gateway WebSocket REST o le fasi API devono avere i log pertinenti abilitati. La registrazione REST e l'esecuzione delle WebSocket API di API Gateway forniscono registrazioni dettagliate delle richieste effettuate alle fasi REST e API di WebSocket API Gateway. Le fasi includono le risposte di backend di integrazione delle API, le risposte di autorizzazione Lambda e gli endpoint per `requestId` l' AWS integrazione.
### Correzione
Per abilitare la registrazione per le operazioni WebSocket REST e API, consulta [Configurare la registrazione delle CloudWatch API utilizzando la console API Gateway nella API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-logging.html#set-up-access-logging-using-console) *Developer Guide*.
## [APIGateway.2] Le fasi API REST di API Gateway devono essere configurate per utilizzare i certificati SSL per l'autenticazione del backend
**Requisiti correlati:** NIST.800-53.r5 AC-1 7 (2), NIST.800-53.r5 IA-5 (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 (3), 3, 3 (3), NIST.800-53.r5 SC-1 (4), NIST.800-53.r5 SC-2 (1), (2), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), NIST.800-171.r2 3.13.15 NIST.800-53.r5 SC-2
**Categoria**: Protezione > Protezione dei dati > Crittografia di data-in-transit
**Gravità:** media
**Tipo di risorsa:** `AWS::ApiGateway::Stage`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/api-gw-ssl-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-ssl-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se le fasi API REST di Amazon API Gateway hanno certificati SSL configurati. I sistemi di backend utilizzano questi certificati per autenticare che le richieste in entrata provengano da API Gateway.
Le fasi API REST di API Gateway devono essere configurate con certificati SSL per consentire ai sistemi di backend di autenticare che le richieste provengono da API Gateway.
### Correzione
Per istruzioni dettagliate su come generare e configurare i certificati SSL API REST API Gateway, consulta [Generare e configurare un certificato SSL per l'autenticazione di backend nella Guida per](https://docs.aws.amazon.com/apigateway/latest/developerguide/getting-started-client-side-ssl-authentication.html) sviluppatori di *API Gateway*.
## [APIGateway.3] Le fasi API REST di API Gateway devono avere la AWS X-Ray traccia abilitata
**Requisiti correlati:** NIST.800-53.r5 CA-7
**Categoria:** Rilevamento > Servizi di rilevamento
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::ApiGateway::Stage`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/api-gw-xray-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-xray-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se il tracciamento AWS X-Ray attivo è abilitato per le fasi dell'API REST di Amazon API Gateway.
Il tracciamento attivo a raggi X consente una risposta più rapida ai cambiamenti delle prestazioni nell'infrastruttura sottostante. Le variazioni delle prestazioni potrebbero comportare una mancanza di disponibilità dell'API. Il tracciamento attivo di X-Ray fornisce metriche in tempo reale delle richieste degli utenti che fluiscono attraverso le operazioni dell'API REST dell'API Gateway e i servizi connessi.
### Correzione
*Per istruzioni dettagliate su come abilitare il tracciamento attivo a raggi X per le operazioni dell'API REST di API Gateway, consulta il [supporto per il tracciamento attivo di Amazon API Gateway AWS X-Ray](https://docs.aws.amazon.com/xray/latest/devguide/xray-services-apigateway.html) nella Developer Guide.AWS X-Ray *
## [APIGateway.4] API Gateway deve essere associato a un ACL Web WAF
**Requisiti correlati:** NIST.800-53.r5 AC-4 (21)
**Categoria:** Proteggi > Servizi di protezione
**Gravità:** media
**Tipo di risorsa:** `AWS::ApiGateway::Stage`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/api-gw-associated-with-waf.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-associated-with-waf.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se una fase API Gateway utilizza una lista di controllo degli accessi AWS WAF Web (ACL). Questo controllo ha esito negativo se un ACL AWS WAF Web non è collegato a uno stadio REST API Gateway.
AWS WAF è un firewall per applicazioni Web che aiuta a proteggere le applicazioni Web e APIs dagli attacchi. Consente di configurare un ACL, ovvero un insieme di regole che consentono, bloccano o contano le richieste Web in base a regole e condizioni di sicurezza Web personalizzabili definite dall'utente. Assicurati che la fase API Gateway sia associata a un ACL AWS WAF Web per proteggerla da attacchi dannosi.
### Correzione
Per informazioni su come utilizzare la console API Gateway per associare un ACL web AWS WAF regionale a una fase API Gateway API esistente, consulta [Using AWS WAF to protect your APIs](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-control-access-aws-waf.html) nella *API Gateway Developer Guide*.
## [APIGateway.5] I dati della cache dell'API REST di API Gateway devono essere crittografati quando sono inattivi
**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.R5 SI-7 (6)
**Categoria:** Protezione > Protezione dei dati > Crittografia dei dati inattivi
**Gravità:** media
**Tipo di risorsa:** `AWS::ApiGateway::Stage`
**AWS Config regola:** `api-gw-cache-encrypted` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:** nessuno
Questo controllo verifica se tutti i metodi nelle fasi API REST di API Gateway con cache abilitata sono crittografati. Il controllo ha esito negativo se un metodo in una fase API REST API Gateway è configurato per la cache e la cache non è crittografata. Security Hub CSPM valuta la crittografia di un particolare metodo solo quando la memorizzazione nella cache è abilitata per quel metodo.
La crittografia dei dati inattivi riduce il rischio di accesso ai dati archiviati su disco da parte di un utente non autenticato. AWS Aggiunge un altro set di controlli di accesso per limitare la capacità degli utenti non autorizzati di accedere ai dati. Ad esempio, sono necessarie le autorizzazioni API per decrittografare i dati prima che possano essere letti.
Le cache delle API REST di API Gateway devono essere crittografate quando sono inattive per un ulteriore livello di sicurezza.
### Correzione
Per configurare la memorizzazione nella cache delle API per una fase, consulta [Enable Amazon API Gateway caching](https://docs.aws.amazon.com/apigateway/latest/developerguide/api-gateway-caching.html#enable-api-gateway-caching) nella *API Gateway Developer Guide*. In **Impostazioni cache**, scegli **Crittografa** i dati della cache.
## [APIGateway.8] Le rotte API Gateway devono specificare un tipo di autorizzazione
**Requisiti correlati:** NIST.800-53.r5 AC-3, NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2 (2)
**Categoria**: Protezione > Gestione sicura degli accessi
**Gravità:** media
**Tipo di risorsa:** `AWS::ApiGatewayV2::Route`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/api-gwv2-authorization-type-configured.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gwv2-authorization-type-configured.html)
**Tipo di pianificazione:** periodica
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| `authorizationType` | Tipo di autorizzazione dei percorsi API | Enum | `AWS_IAM`, `CUSTOM`, `JWT` | Nessun valore predefinito |
Questo controllo verifica se le route Amazon API Gateway hanno un tipo di autorizzazione. Il controllo fallisce se la route API Gateway non ha alcun tipo di autorizzazione. Facoltativamente, puoi fornire un valore di parametro personalizzato se desideri che il controllo passi solo se la route utilizza il tipo di autorizzazione specificato nel `authorizationType` parametro.
API Gateway supporta più meccanismi per controllare e gestire l'accesso all'API. Specificando un tipo di autorizzazione, puoi limitare l'accesso all'API solo agli utenti o ai processi autorizzati.
### Correzione
Per impostare un tipo di autorizzazione per HTTP APIs, consulta [Controllare e gestire l'accesso a un'API HTTP in API Gateway nella API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/http-api-access-control.html) *Developer Guide*. Per impostare un tipo di autorizzazione per WebSocket APIs, consulta [Controllare e gestire l'accesso a un' WebSocket API in API Gateway nella API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-websocket-api-control-access.html) *Developer Guide*.
## [APIGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages
**Requisiti correlati:** NIST.800-53.r5 AC-4 (26), (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-7 (8), PCI DSS v4.0.1/10.4.2
**Categoria:** Identificazione > Registrazione
**Gravità:** media
**Tipo di risorsa:** `AWS::ApiGatewayV2::Stage`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/api-gwv2-access-logs-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gwv2-access-logs-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se nelle fasi di Amazon API Gateway V2 è configurata la registrazione degli accessi. Questo controllo fallisce se le impostazioni del log di accesso non sono definite.
I log di accesso all'API Gateway forniscono informazioni dettagliate su chi ha effettuato l'accesso all'API e su come il chiamante ha effettuato l'accesso all'API. Questi log sono utili per applicazioni quali audit di sicurezza e accesso e indagini forensi. Abilita questi log di accesso per analizzare i modelli di traffico e risolvere i problemi.
Per ulteriori best practice, consulta [Monitoring REST APIs](https://docs.aws.amazon.com/apigateway/latest/developerguide/rest-api-monitor.html) nella *API Gateway Developer Guide*.
### Correzione
Per configurare la registrazione degli accessi, consulta [Configurare la registrazione delle CloudWatch API utilizzando la console API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-logging.html#set-up-access-logging-using-console) nella Guida per *sviluppatori di API Gateway*.
## [APIGateway.10] Le integrazioni API Gateway V2 devono utilizzare HTTPS per le connessioni private
**Categoria:** Protezione > Protezione dei dati > Crittografia di data-in-transit
**Gravità:** media
**Tipo di risorsa:** `AWS::ApiGatewayV2::Integration`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/apigatewayv2-integration-private-https-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/apigatewayv2-integration-private-https-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un'integrazione API Gateway V2 ha HTTPS abilitato per le connessioni private. Il controllo fallisce se per una connessione privata non è configurato TLS.
I collegamenti VPC collegano l'API Gateway alle risorse private. Sebbene i collegamenti VPC creino connettività privata, non crittografano intrinsecamente i dati. La configurazione di TLS garantisce l'uso di HTTPS per la end-to-end crittografia dal client tramite API Gateway al backend. Senza TLS, il traffico API sensibile scorre in modo non crittografato tra connessioni private. La crittografia HTTPS protegge il traffico attraverso le connessioni private dall'intercettazione dei dati, dagli man-in-the-middle attacchi e dall'esposizione delle credenziali.
### Correzione
Per abilitare la crittografia in transito per le connessioni private in un'integrazione API Gateway v2, consulta [Aggiornare un'integrazione privata](https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-private-integration.html#set-up-private-integration-update) nella *Amazon API Gateway Developer Guide*. Configura la [configurazione TLS](https://docs.aws.amazon.com/apigatewayv2/latest/api-reference/apis-apiid-integrations-integrationid.html#apis-apiid-integrations-integrationid-model-tlsconfig) in modo che l'integrazione privata utilizzi il protocollo HTTPS.
# Controlli CSPM Security Hub per AWS AppConfig
Questi controlli CSPM di Security Hub valutano il AWS AppConfig servizio e le risorse.
Questi controlli potrebbero non essere disponibili in tutti. Regioni AWS Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [AppConfig.1] AWS AppConfig le applicazioni devono essere etichettate
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::AppConfig::Application`
**Regola AWS Config : ** `appconfig-application-tagged`
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un' AWS AppConfig applicazione dispone di tag con le chiavi specifiche definite nel parametro. `requiredKeyTags` Il controllo fallisce se l'applicazione non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredKeyTags`. Se il parametro `requiredKeyTags` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'applicazione non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella Guida per l'utente *IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Migliori pratiche e strategie](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) nella Guida per l'*utente di Tagging AWS Resources and Tag Editor*.
### Correzione
Per aggiungere tag a un' AWS AppConfig applicazione, consulta l'*AWS AppConfig API [https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html)*Reference.
## [AppConfig.2] i profili AWS AppConfig di configurazione devono essere etichettati
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::AppConfig::ConfigurationProfile`
**Regola AWS Config : ** `appconfig-configuration-profile-tagged`
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un profilo AWS AppConfig di configurazione ha tag con le chiavi specifiche definite nel parametro. `requiredKeyTags` Il controllo fallisce se il profilo di configurazione non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredKeyTags`. Se il parametro `requiredKeyTags` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il profilo di configurazione non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella Guida per l'utente *IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Migliori pratiche e strategie](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) nella Guida per l'*utente di Tagging AWS Resources and Tag Editor*.
### Correzione
Per aggiungere tag a un profilo di AWS AppConfig configurazione, consulta l'*AWS AppConfig API [https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html)*Reference.
## [AppConfig.3] AWS AppConfig gli ambienti devono essere etichettati
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::AppConfig::Environment`
**Regola AWS Config : ** `appconfig-environment-tagged`
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un AWS AppConfig ambiente ha tag con le chiavi specifiche definite nel parametro. `requiredKeyTags` Il controllo fallisce se l'ambiente non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredKeyTags`. Se il parametro `requiredKeyTags` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'ambiente non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella Guida per l'utente *IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Migliori pratiche e strategie](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) nella Guida per l'*utente di Tagging AWS Resources and Tag Editor*.
### Correzione
Per aggiungere tag a un AWS AppConfig ambiente, consulta l'*AWS AppConfig API [https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html)*Reference.
## [AppConfig.4] le associazioni di AWS AppConfig estensioni devono essere etichettate
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::AppConfig::ExtensionAssociation`
**Regola AWS Config : ** `appconfig-extension-association-tagged`
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un'associazione di AWS AppConfig estensioni contiene tag con le chiavi specifiche definite nel parametro. `requiredKeyTags` Il controllo fallisce se l'associazione di estensione non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredKeyTags`. Se il parametro `requiredKeyTags` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'associazione di estensione non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella Guida per l'utente *IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Migliori pratiche e strategie](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) nella Guida per l'*utente di Tagging AWS Resources and Tag Editor*.
### Correzione
Per aggiungere tag a un'associazione di AWS AppConfig estensioni, consulta l'*AWS AppConfig API [https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html)*Reference.
# Controlli CSPM Security Hub per Amazon AppFlow
Questi controlli CSPM di Security Hub valutano il AppFlow servizio e le risorse Amazon.
Questi controlli potrebbero non essere disponibili tutti. Regioni AWS Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [AppFlow.1] I AppFlow flussi Amazon devono essere etichettati
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::AppFlow::Flow`
**Regola AWS Config : ** `appflow-flow-tagged`
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un AppFlow flusso Amazon ha tag con le chiavi specifiche definite nel parametro`requiredKeyTags`. Il controllo fallisce se il flusso non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredKeyTags`. Se il parametro `requiredKeyTags` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il flusso non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella Guida per l'utente *IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Migliori pratiche e strategie](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) nella Guida per l'*utente di Tagging AWS Resources and Tag Editor*.
### Correzione
Per aggiungere tag a un AppFlow flusso Amazon, consulta la sezione [Creazione di flussi in Amazon AppFlow](https://docs.aws.amazon.com/appflow/latest/userguide/flows-manage.html) nella *Amazon AppFlow User Guide*.
# Controlli CSPM Security Hub per AWS App Runner
Questi AWS Security Hub CSPM controlli valutano il AWS App Runner servizio e le risorse. I controlli potrebbero non essere disponibili in tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [AppRunner.1] I servizi App Runner devono essere etichettati
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::AppRunner::Service`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/apprunner-service-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/apprunner-service-tagged.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un AWS App Runner servizio dispone di tag con le chiavi specifiche definite nel parametro. `requiredKeyTags` Il controllo fallisce se il servizio App Runner non dispone di chiavi di tag o se non ha tutte le chiavi specificate nel parametro`requiredKeyTags`. Se il parametro `requiredKeyTags` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il servizio App Runner non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella Guida per l'utente *IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Migliori pratiche e strategie](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) nella Guida per l'*utente di Tagging AWS Resources and Tag Editor*.
### Correzione
Per informazioni sull'aggiunta di tag a un AWS App Runner servizio, consulta l'*AWS App Runner API [https://docs.aws.amazon.com/apprunner/latest/api/API_TagResource.html](https://docs.aws.amazon.com/apprunner/latest/api/API_TagResource.html)*Reference.
## [AppRunner.2] I connettori VPC App Runner devono essere etichettati
**Categoria: Identificazione > Inventario** > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::AppRunner::VpcConnector`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/apprunner-vpc-connector-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/apprunner-vpc-connector-tagged.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un connettore AWS App Runner VPC ha tag con le chiavi specifiche definite nel parametro. `requiredKeyTags` Il controllo fallisce se il connettore VPC non ha alcuna chiave tag o se non ha tutte le chiavi specificate nel parametro. `requiredKeyTags` Se il parametro `requiredKeyTags` non viene fornito, il controllo verifica solo l'esistenza di una chiave tag e fallisce se il connettore VPC non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella Guida per l'utente *IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Migliori pratiche e strategie](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) nella Guida per l'*utente di Tagging AWS Resources and Tag Editor*.
### Correzione
Per informazioni sull'aggiunta di tag a un connettore AWS App Runner VPC, consulta l'*AWS App Runner API [https://docs.aws.amazon.com/apprunner/latest/api/API_TagResource.html](https://docs.aws.amazon.com/apprunner/latest/api/API_TagResource.html)*Reference.
# Controlli CSPM Security Hub per AWS AppSync
Questi controlli CSPM di Security Hub valutano il AWS AppSync servizio e le risorse.
Questi controlli potrebbero non essere disponibili in tutti. Regioni AWS Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive
**Importante**
Security Hub CSPM ha ritirato questo controllo il 9 marzo 2026. Per ulteriori informazioni, vedere. [Registro delle modifiche per i controlli CSPM di Security Hub](controls-change-log.md) AWS AppSync ora fornisce la crittografia predefinita su tutte le cache API attuali e future.
**Categoria:** Protezione > Protezione dei dati > Crittografia di data-at-rest
**Gravità:** media
**Tipo di risorsa:** `AWS::AppSync::GraphQLApi`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/appsync-cache-ct-encryption-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/appsync-cache-ct-encryption-at-rest.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se una cache AWS AppSync API è crittografata quando è inattiva. Il controllo fallisce se la cache dell'API non è crittografata quando è inattiva.
I dati inattivi si riferiscono ai dati archiviati in uno storage persistente e non volatile per qualsiasi durata. La crittografia dei dati inutilizzati consente di proteggerne la riservatezza, riducendo il rischio che un utente non autorizzato possa accedervi.
### Correzione
Non puoi modificare le impostazioni di crittografia dopo aver abilitato la memorizzazione nella cache per l'API. AWS AppSync È invece necessario eliminare la cache e ricrearla con la crittografia abilitata. Per ulteriori informazioni, consulta [Crittografia della cache](https://docs.aws.amazon.com/appsync/latest/devguide/enabling-caching.html#caching-encryption) nella *Guida per gli AWS AppSync sviluppatori*.
## [AppSync.2] AWS AppSync dovrebbe avere la registrazione a livello di campo abilitata
**Requisiti correlati**: PCI DSS v4.0.1/10.4.2
**Categoria:** Identificazione > Registrazione
**Gravità:** media
**Tipo di risorsa:** `AWS::AppSync::GraphQLApi`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/appsync-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/appsync-logging-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| `fieldLoggingLevel` | Livello di registrazione del campo | Enum | `ERROR`, `ALL`, `INFO`, `DEBUG` | `No default value` |
Questo controllo verifica se un' AWS AppSync API ha attivato la registrazione a livello di campo. **Il controllo fallisce se il livello di registro del resolver del campo è impostato su Nessuno.** A meno che non si forniscano valori di parametro personalizzati per indicare che un tipo di registro specifico deve essere abilitato, Security Hub CSPM produce un risultato valido se il campo resolver log level è o. `ERROR` `ALL`
Puoi usare il logging e i parametri per identificare e ottimizzare le query GraphQL, oltre che per risolvere i relativi problemi. L'attivazione della registrazione per AWS AppSync GraphQL consente di ottenere informazioni dettagliate sulle richieste e le risposte delle API, identificare e rispondere ai problemi e rispettare i requisiti normativi.
### Correzione
*Per attivare la registrazione per AWS AppSync, consulta [Setup and configuration](https://docs.aws.amazon.com/appsync/latest/devguide/monitoring.html#setup-and-configuration) nella Developer Guide.AWS AppSync *
## [AppSync.4] AWS AppSync APIs GraphQL dovrebbe essere taggato
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::AppSync::GraphQLApi`
**AWS Config regola:** `tagged-appsync-graphqlapi` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un'API AWS AppSync GraphQL ha tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se l'API GraphQL non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro. `requiredTagKeys` Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave tag e fallisce se l'API GraphQL non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
Per aggiungere tag a un'API AWS AppSync GraphQL, consulta l'*AWS AppSync API [https://docs.aws.amazon.com/appsync/latest/APIReference/API_TagResource.html](https://docs.aws.amazon.com/appsync/latest/APIReference/API_TagResource.html)*Reference.
## [AppSync.5] AWS AppSync APIs GraphQL non deve essere autenticato con chiavi API
**Requisiti correlati:** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-6
**Categoria:** Protezione > Gestione sicura degli accessi > Autenticazione senza password
**Gravità:** alta
**Tipo di risorsa:** `AWS::AppSync::GraphQLApi`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/appsync-authorization-check.html](https://docs.aws.amazon.com/config/latest/developerguide/appsync-authorization-check.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
+ `AllowedAuthorizationTypes`: ` AWS_LAMBDA, AWS_IAM, OPENID_CONNECT, AMAZON_COGNITO_USER_POOLS` (non personalizzabile)
Questo controllo verifica se l'applicazione utilizza una chiave API per interagire con un'API AWS AppSync GraphQL. Il controllo fallisce se un'API AWS AppSync GraphQL è autenticata con una chiave API.
Una chiave API è un valore codificato nell'applicazione che viene generato dal AWS AppSync servizio quando si crea un endpoint GraphQL non autenticato. Se questa chiave API è compromessa, l'endpoint è vulnerabile agli accessi involontari. A meno che tu non supporti un'applicazione o un sito Web accessibili al pubblico, non consigliamo di utilizzare una chiave API per l'autenticazione.
### Correzione
Per impostare un'opzione di autorizzazione per l'API AWS AppSync GraphQL, consulta [Autorizzazione e autenticazione nella Guida](https://docs.aws.amazon.com/appsync/latest/devguide/security-authz.html) per gli *AWS AppSync sviluppatori*.
## [AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito
**Importante**
Security Hub CSPM ha ritirato questo controllo il 9 marzo 2026. Per ulteriori informazioni, vedere. [Registro delle modifiche per i controlli CSPM di Security Hub](controls-change-log.md) AWS AppSync ora fornisce la crittografia predefinita su tutte le cache API attuali e future.
**Categoria:** Protezione > Protezione dei dati > Crittografia di data-in-transit
**Gravità:** media
**Tipo di risorsa:** `AWS::AppSync::ApiCache`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/appsync-cache-ct-encryption-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/appsync-cache-ct-encryption-in-transit.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se una cache AWS AppSync API è crittografata in transito. Il controllo fallisce se la cache dell'API non è crittografata in transito.
I dati in transito si riferiscono ai dati che si spostano da una posizione all'altra, ad esempio tra i nodi del cluster o tra il cluster e l'applicazione. I dati possono spostarsi su Internet o all'interno di una rete privata. La crittografia dei dati in transito riduce il rischio che un utente non autorizzato possa intercettare il traffico di rete.
### Correzione
Non puoi modificare le impostazioni di crittografia dopo aver abilitato la memorizzazione nella cache per l'API. AWS AppSync È invece necessario eliminare la cache e ricrearla con la crittografia abilitata. Per ulteriori informazioni, consulta [Crittografia della cache](https://docs.aws.amazon.com/appsync/latest/devguide/enabling-caching.html#caching-encryption) nella *Guida per gli AWS AppSync sviluppatori*.
# Controlli CSPM del Security Hub per Amazon Athena
Questi AWS Security Hub CSPM controlli valutano il servizio e le risorse di Amazon Athena. I controlli potrebbero non essere disponibili in tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [Athena.1] I gruppi di lavoro Athena devono essere crittografati quando sono inattivi
**Importante**
Security Hub CSPM ha ritirato questo controllo nell'aprile 2024. Per ulteriori informazioni, consulta [Registro delle modifiche per i controlli CSPM di Security Hub](controls-change-log.md).
**Categoria:** Protezione > Protezione dei dati > Crittografia dei dati inattivi
**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-7 (6)
**Gravità:** media
**Tipo di risorsa:** `AWS::Athena::WorkGroup`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/athena-workgroup-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/athena-workgroup-encrypted-at-rest.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un gruppo di lavoro Athena è crittografato a riposo. Il controllo fallisce se un gruppo di lavoro Athena non è crittografato a riposo.
In Athena, puoi creare gruppi di lavoro per eseguire query per team, applicazioni o carichi di lavoro diversi. Ogni gruppo di lavoro dispone di un'impostazione per abilitare la crittografia su tutte le query. Hai la possibilità di utilizzare la crittografia lato server con le chiavi gestite di Amazon Simple Storage Service (Amazon S3), la crittografia lato server AWS Key Management Service con AWS KMS() chiavi o la crittografia lato client con chiavi KMS gestite dal cliente. I dati inattivi si riferiscono a tutti i dati archiviati in uno storage persistente e non volatile per qualsiasi durata. La crittografia aiuta a proteggere la riservatezza di tali dati, riducendo il rischio che un utente non autorizzato possa accedervi.
### Correzione
*Per abilitare la crittografia a riposo per i gruppi di lavoro Athena, consulta [Modificare un gruppo di lavoro](https://docs.aws.amazon.com/athena/latest/ug/workgroups-create-update-delete.html#editing-workgroups) nella Amazon Athena User Guide.* **Nella sezione **Configurazione dei risultati della query**, seleziona Crittografa i risultati delle query.**
## [Athena.2] I cataloghi di dati Athena devono essere etichettati
**Categoria: Identificazione > Inventario > Etichettatura**
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::Athena::DataCatalog`
**AWS Config regola:** `tagged-athena-datacatalog` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | No default value |
Questo controllo verifica se un catalogo dati Amazon Athena contiene tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se il catalogo dati non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il catalogo dati non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice sull'etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
*Per aggiungere tag a un catalogo di dati Athena, consulta [Tagging Athena resources nella Amazon Athena](https://docs.aws.amazon.com/athena/latest/ug/tags.html) User Guide.*
## [Athena.3] I gruppi di lavoro Athena devono essere etichettati
**Categoria: Identificazione > Inventario > Etichettatura**
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::Athena::WorkGroup`
**AWS Config regola:** `tagged-athena-workgroup` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | No default value |
Questo controllo verifica se un gruppo di lavoro Amazon Athena dispone di tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se il gruppo di lavoro non dispone di chiavi di tag o se non ha tutte le chiavi specificate nel parametro. `requiredTagKeys` Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il gruppo di lavoro non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice sull'etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
*Per aggiungere tag a un gruppo di lavoro Athena, consulta [Aggiungere ed eliminare tag su un singolo gruppo di lavoro nella Amazon Athena User](https://docs.aws.amazon.com/athena/latest/ug/tags-console.html#tags-add-delete) Guide.*
## [Athena.4] I gruppi di lavoro Athena devono avere la registrazione abilitata
**Categoria:** Identificazione > Registrazione
**Gravità:** media
**Tipo di risorsa:** `AWS::Athena::WorkGroup`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/athena-workgroup-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/athena-workgroup-logging-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un gruppo di lavoro Amazon Athena ha la registrazione abilitata. Il controllo fallisce se il gruppo di lavoro non ha la registrazione abilitata.
I registri di controllo tengono traccia e monitorano le attività del sistema. Forniscono una registrazione degli eventi che può aiutarvi a rilevare violazioni della sicurezza, indagare sugli incidenti e rispettare le normative. I registri di controllo migliorano anche la responsabilità e la trasparenza complessive dell'organizzazione.
### Correzione
*Per informazioni sull'abilitazione della registrazione per un gruppo di lavoro Athena, [consulta CloudWatch Enable query metrics in Athena nella Amazon Athena](https://docs.aws.amazon.com/athena/latest/ug/athena-cloudwatch-metrics-enable.html) User Guide.*
# Controlli CSPM Security Hub per AWS Backup
Questi controlli CSPM di Security Hub valutano il AWS Backup servizio e le risorse.
Questi controlli potrebbero non essere disponibili in tutti. Regioni AWS Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [Backup.1] i punti di AWS Backup ripristino devono essere crittografati a riposo
**Requisiti correlati:** NIST.800-53.r5 CP-9 (8), NIST.800-53.r5 SI-12
**Categoria**: Protezione > Protezione dei dati > Crittografia di data-at-rest
**Gravità:** media
**Tipo di risorsa:** `AWS::Backup::RecoveryPoint`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-encrypted.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un punto di AWS Backup ripristino è crittografato quando è inattivo. Il controllo fallisce se il punto di ripristino non è crittografato a riposo.
Un punto di AWS Backup ripristino si riferisce a una copia o istantanea specifica dei dati creata come parte di un processo di backup. Rappresenta un momento particolare in cui è stato eseguito il backup dei dati e funge da punto di ripristino nel caso in cui i dati originali vengano persi, danneggiati o inaccessibili. La crittografia dei punti di ripristino del backup aggiunge un ulteriore livello di protezione contro l'accesso non autorizzato. La crittografia è una procedura ottimale per proteggere la riservatezza, l'integrità e la sicurezza dei dati di backup.
### Correzione
Per crittografare un punto di AWS Backup ripristino, consulta [Encryption for backup AWS Backup nella AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/encryption.html) *Developer* Guide.
## [Backup.2] i punti di AWS Backup ripristino devono essere etichettati
**Categoria: Identificazione > Inventario** > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::Backup::RecoveryPoint`
**AWS Config regola:** `tagged-backup-recoverypoint` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un punto di AWS Backup ripristino dispone di tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se il punto di ripristino non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il punto di ripristino non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
**Per aggiungere tag a un punto di ripristino AWS Backup**
1. Apri la AWS Backup console in [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)
1. Nel riquadro di navigazione scegliere **Backup plans (Piani di backup)**.
1. Seleziona un piano di backup dall'elenco.
1. Nella sezione **Tag del piano di Backup**, scegli **Gestisci tag**.
1. Immettere una chiave e un valore per il tag. Scegli **Aggiungi nuovo tag** per ulteriori coppie chiave-valore.
1. Una volta completata l'aggiunta di tag, scegliere **Save (Salva)**.
## I AWS Backup vault [Backup.3] devono essere etichettati
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::Backup::BackupVault`
**AWS Config regola:** `tagged-backup-backupvault` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un AWS Backup vault ha tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se il punto di ripristino non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il punto di ripristino non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
**Per aggiungere tag a un archivio AWS Backup**
1. Apri la AWS Backup console in [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)
1. Nel riquadro di navigazione scegliere **Backup vaults (Vault di backup)**.
1. Seleziona un archivio di backup dall'elenco.
1. Nella sezione **Backup vault tags**, scegli **Gestisci tag**.
1. Immettere una chiave e un valore per il tag. Scegli **Aggiungi nuovo tag** per ulteriori coppie chiave-valore.
1. Una volta completata l'aggiunta di tag, scegliere **Save (Salva)**.
## [Backup.4] i piani di AWS Backup report devono essere etichettati
**Categoria: Identificazione > Inventario** > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::Backup::ReportPlan`
**AWS Config regola:** `tagged-backup-reportplan` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un piano di AWS Backup report contiene tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se il piano di report non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se al piano di report non è associata alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
**Per aggiungere tag a un piano di report AWS Backup**
1. Apri la AWS Backup console in [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)
1. Nel riquadro di navigazione scegliere **Backup vaults (Vault di backup)**.
1. Seleziona un archivio di backup dall'elenco.
1. Nella sezione **Backup vault tags**, scegli **Gestisci tag**.
1. Scegli **Aggiungi nuovo tag**. Immettere una chiave e un valore per il tag. Ripetere l'operazione per ulteriori coppie chiave-valore.
1. Una volta completata l'aggiunta di tag, scegliere **Save (Salva)**.
## [Backup.5] i piani di AWS Backup backup devono essere etichettati
**Categoria: Identificazione > Inventario** > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::Backup::BackupPlan`
**AWS Config regola:** `tagged-backup-backupplan` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un piano AWS Backup di backup dispone di tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se il piano di backup non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il piano di backup non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
**Per aggiungere tag a un piano di backup AWS Backup**
1. Apri la AWS Backup console in [https://console.aws.amazon.com/backup.](https://console.aws.amazon.com/backup)
1. Nel riquadro di navigazione scegliere **Backup vaults (Vault di backup)**.
1. Seleziona un archivio di backup dall'elenco.
1. Nella sezione **Backup vault tags**, scegli **Gestisci tag**.
1. Scegli **Aggiungi nuovo tag**. Immettere una chiave e un valore per il tag. Ripetere l'operazione per ulteriori coppie chiave-valore.
1. Una volta completata l'aggiunta di tag, scegliere **Save (Salva)**.
# Controlli CSPM Security Hub per AWS Batch
Questi controlli CSPM di Security Hub valutano il AWS Batch servizio e le risorse. I controlli potrebbero non essere disponibili in tutti. Regioni AWS Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [Batch.1] Le code di processi in batch devono essere etichettate
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::Batch::JobQueue`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/batch-job-queue-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/batch-job-queue-tagged.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se una coda di AWS Batch lavori ha tag con le chiavi specifiche definite nel parametro. `requiredKeyTags` Il controllo fallisce se la coda dei processi non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro. `requiredKeyTags` Se il parametro `requiredKeyTags` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se la coda dei processi non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella Guida per l'utente *IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Migliori pratiche e strategie](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) nella Guida per l'*utente di Tagging AWS Resources and Tag Editor*.
### Correzione
Per aggiungere tag a una coda di lavori Batch, consulta [Etichettare le risorse](https://docs.aws.amazon.com/batch/latest/userguide/tag-resources.html) nella *Guida per l'AWS Batch utente*.
## [Batch.2] Le politiche di pianificazione dei batch devono essere etichettate
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::Batch::SchedulingPolicy`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/batch-scheduling-policy-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/batch-scheduling-policy-tagged.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se una politica AWS Batch di pianificazione ha tag con le chiavi specifiche definite nel parametro. `requiredKeyTags` Il controllo fallisce se la politica di pianificazione non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro. `requiredKeyTags` Se il parametro `requiredKeyTags` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se la politica di pianificazione non è contrassegnata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella Guida per l'utente *IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Migliori pratiche e strategie](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) nella Guida per l'*utente di Tagging AWS Resources and Tag Editor*.
### Correzione
Per aggiungere tag a una politica di pianificazione Batch, consulta [Etichettare le risorse](https://docs.aws.amazon.com/batch/latest/userguide/tag-resources.html) nella *Guida per l'AWS Batch utente*.
## [Batch.3] Gli ambienti di calcolo in batch devono essere etichettati
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::Batch::ComputeEnvironment`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/batch-compute-environment-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/batch-compute-environment-tagged.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un ambiente di AWS Batch calcolo dispone di tag con le chiavi specifiche definite nel parametro. `requiredKeyTags` Il controllo fallisce se l'ambiente di calcolo non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro. `requiredKeyTags` Se il parametro `requiredKeyTags` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'ambiente di calcolo non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella Guida per l'utente *IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Migliori pratiche e strategie](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) nella Guida per l'*utente di Tagging AWS Resources and Tag Editor*.
### Correzione
Per aggiungere tag a un ambiente di calcolo Batch, consulta [Etichettare le risorse](https://docs.aws.amazon.com/batch/latest/userguide/tag-resources.html) nella *Guida per l'AWS Batch utente*.
## [Batch.4] Le proprietà delle risorse di calcolo negli ambienti di calcolo Batch gestiti devono essere etichettate
**Categoria: Identificazione > Inventario > Etichettatura**
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::Batch::ComputeEnvironment`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/batch-managed-compute-env-compute-resources-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/batch-managed-compute-env-compute-resources-tagged.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Un elenco di chiavi di tag non di sistema che devono essere assegnate a una risorsa valutata. Le chiavi dei tag distinguono tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se la proprietà delle risorse di calcolo in un ambiente di AWS Batch calcolo gestito ha le chiavi dei tag specificate dal parametro. `requiredKeyTags` Il controllo ha esito negativo se la proprietà compute resources non ha alcuna chiave di tag o non ha tutte le chiavi specificate dal parametro. `requiredKeyTags` Se non specificate alcun valore per il `requiredKeyTags` parametro, il controllo verifica solo l'esistenza di una chiave tag e fallisce se una proprietà di risorse di calcolo non dispone di chiavi tag. Il controllo ignora i tag di sistema, che vengono applicati automaticamente e hanno il `aws:` prefisso. Questo controllo non valuta gli ambienti di elaborazione non gestiti o gli ambienti gestiti che utilizzano risorse. AWS Fargate
Un tag è un'etichetta che crei e assegni a una risorsa. AWS Ogni tag è composto da una chiave di tag obbligatoria e da un valore di tag opzionale. È possibile utilizzare i tag per classificare le risorse in base allo scopo, al proprietario, all'ambiente o ad altri criteri. Possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. Possono anche aiutarti a tenere traccia delle azioni e delle notifiche dei proprietari delle risorse. Puoi anche utilizzare i tag per implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione. *Per ulteriori informazioni sulle strategie ABAC, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella IAM User Guide.* Per ulteriori informazioni sui tag, consulta la Guida per l'utente di [Tagging AWS Resources and Tag Editor](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**Nota**
Non memorizzare informazioni personali identificabili o altre informazioni riservate o sensibili nei tag. I tag sono accessibili da molti Servizi AWS. Non sono destinati a essere utilizzati per dati privati o sensibili.
### Correzione
Per informazioni sull'aggiunta di tag alle risorse di calcolo in un ambiente di AWS Batch elaborazione gestito, consulta Etichettare [le risorse nella Guida per](https://docs.aws.amazon.com/batch/latest/userguide/tag-resources.html) l'*AWS Batch utente*.
# Controlli CSPM Security Hub per AWS Certificate Manager
Questi AWS Security Hub CSPM controlli valutano il servizio e le risorse AWS Certificate Manager (ACM). I controlli potrebbero non essere disponibili in tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [ACM.1] I certificati importati ed emessi da ACM devono essere rinnovati dopo un periodo di tempo specificato
**Requisiti correlati:** NIST.800-53.r5 SC-2 8 (3), NIST.800-53.r5 SC-7 (16), NIST.800-171.r2 3.13.15, PCI DSS v4.0.1/4.2.1
**Categoria**: Protezione > Protezione dei dati > Crittografia di data-in-transit
**Gravità:** media
**Tipo di risorsa:** `AWS::ACM::Certificate`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/acm-certificate-expiration-check.html](https://docs.aws.amazon.com/config/latest/developerguide/acm-certificate-expiration-check.html)
**Tipo di pianificazione:** modifica attivata e periodica
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| `daysToExpiration` | Numero di giorni entro i quali il certificato ACM deve essere rinnovato | Numero intero | `14` Da a `365` | `30` |
Questo controllo verifica se un certificato AWS Certificate Manager (ACM) viene rinnovato entro il periodo di tempo specificato. Controlla sia i certificati importati che i certificati forniti da ACM. Il controllo fallisce se il certificato non viene rinnovato entro il periodo di tempo specificato. A meno che non si fornisca un valore di parametro personalizzato per il periodo di rinnovo, Security Hub CSPM utilizza un valore predefinito di 30 giorni.
ACM può rinnovare automaticamente i certificati che utilizzano la convalida DNS. Per i certificati che utilizzano la convalida e-mail, è necessario rispondere a un'e-mail di convalida del dominio. ACM non rinnova automaticamente i certificati importati. È necessario rinnovare manualmente i certificati importati.
### Correzione
ACM offre un rinnovo gestito per i tuoi SSL/TLS certificati emessi da Amazon. Ciò significa che ACM rinnova i certificati automaticamente (se utilizzi la convalida DNS) oppure ti invia notifiche via e-mail quando si avvicina la scadenza del certificato. Questi servizi sono forniti sia per i certificati ACM pubblici che privati.
**Per i domini convalidati tramite e-mail**
Quando mancano 45 giorni alla scadenza di un certificato, ACM invia al proprietario del dominio un'e-mail per ogni nome di dominio. Per convalidare i domini e completare il rinnovo, devi rispondere alle notifiche e-mail.
*Per ulteriori informazioni, consulta [Rinnovo per domini convalidati tramite e-mail](https://docs.aws.amazon.com/acm/latest/userguide/email-renewal-validation.html) nella Guida per l'utente.AWS Certificate Manager *
**Per i domini convalidati dal DNS**
ACM rinnova automaticamente i certificati che utilizzano la convalida DNS. 60 giorni prima della scadenza, ACM verifica che il certificato possa essere rinnovato.
Se non è in grado di convalidare un nome di dominio, ACM invia una notifica indicante che è necessaria la convalida manuale. Invia queste notifiche 45 giorni, 30 giorni, 7 giorni e 1 giorno prima della scadenza.
*Per ulteriori informazioni, consulta [Rinnovo per i domini convalidati dal DNS](https://docs.aws.amazon.com/acm/latest/userguide/dns-renewal-validation.html) nella Guida per l'AWS Certificate Manager utente.*
## [ACM.2] I certificati RSA gestiti da ACM devono utilizzare una lunghezza di chiave di almeno 2.048 bit
**Requisiti** correlati: PCI DSS v4.0.1/4.2.1
**Categoria: Identificazione > Inventario > Servizi** di inventario
**Gravità:** alta
**Tipo di risorsa:** `AWS::ACM::Certificate`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/acm-certificate-rsa-check.html](https://docs.aws.amazon.com/config/latest/developerguide/acm-certificate-rsa-check.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se i certificati RSA gestiti da AWS Certificate Manager utilizzano una lunghezza di chiave di almeno 2.048 bit. Il controllo ha esito negativo se la lunghezza della chiave è inferiore a 2.048 bit.
La forza della crittografia è direttamente correlata alla dimensione della chiave. Consigliamo una lunghezza delle chiavi di almeno 2.048 bit per proteggere AWS le risorse in quanto la potenza di calcolo diventa meno costosa e i server diventano più avanzati.
### Correzione
La lunghezza minima delle chiavi per i certificati RSA emessi da ACM è già di 2.048 bit. *Per istruzioni sull'emissione di nuovi certificati RSA con ACM, consulta Emissione e gestione dei certificati nella Guida per [l'](https://docs.aws.amazon.com/acm/latest/userguide/gs.html)utente.AWS Certificate Manager *
Sebbene ACM consenta di importare certificati con chiavi di lunghezza inferiore, è necessario utilizzare chiavi di almeno 2.048 bit per passare questo controllo. Non è possibile modificare la lunghezza della chiave dopo aver importato un certificato. È invece necessario eliminare i certificati con una lunghezza di chiave inferiore a 2.048 bit. *Per ulteriori informazioni sull'importazione di certificati in ACM, consulta [Prerequisiti per l'importazione dei certificati nella Guida per l'](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate-prerequisites.html)utente.AWS Certificate Manager *
## [ACM.3] I certificati ACM devono essere etichettati
**Categoria: Identificazione > Inventario** > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::ACM::Certificate`
**AWS Config regola:** `tagged-acm-certificate` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un certificato AWS Certificate Manager (ACM) contiene tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo ha esito negativo se il certificato non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il certificato non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
*Per aggiungere tag a un certificato ACM, consulta [Taggare i AWS Certificate Manager certificati](https://docs.aws.amazon.com/acm/latest/userguide/tags.html) nella Guida per l'utente.AWS Certificate Manager *
# Controlli CSPM Security Hub per CloudFormation
Questi controlli CSPM di Security Hub valutano il AWS CloudFormation servizio e le risorse.
Questi controlli potrebbero non essere disponibili in tutti. Regioni AWS Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [CloudFormation.1] gli CloudFormation stack devono essere integrati con Simple Notification Service (SNS)
**Importante**
Security Hub CSPM ha ritirato questo controllo nell'aprile 2024. Per ulteriori informazioni, consulta [Registro delle modifiche per i controlli CSPM di Security Hub](controls-change-log.md).
**Requisiti correlati:** NIST.800-53.r5 SI-4 (12), NIST.800-53.r5 SI-4 (5)
**Categoria**: Rileva > Servizi di rilevamento > Monitoraggio delle applicazioni
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::CloudFormation::Stack`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-stack-notification-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-stack-notification-check.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se una notifica di Amazon Simple Notification Service è integrata con uno CloudFormation stack. Il controllo fallisce per uno CloudFormation stack se non è associata alcuna notifica SNS.
La configurazione di una notifica SNS con lo CloudFormation stack consente di notificare immediatamente alle parti interessate eventuali eventi o modifiche che si verificano nello stack.
### Correzione
*Per integrare uno CloudFormation stack e un argomento SNS, consulta [Aggiornamento](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-cfn-updating-stacks-direct.html) degli stack direttamente nella Guida per l'utente.AWS CloudFormation *
## [CloudFormation.2] CloudFormation gli stack devono essere etichettati
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::CloudFormation::Stack`
**AWS Config regola:** `tagged-cloudformation-stack` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se uno AWS CloudFormation stack ha tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se lo stack non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro. `requiredTagKeys` Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se lo stack non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
*Per aggiungere tag a uno CloudFormation stack, consulta la sezione API [CreateStack](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_CreateStack.html)Reference.AWS CloudFormation *
## [CloudFormation.3] gli CloudFormation stack dovrebbero avere la protezione dalla terminazione abilitata
**Categoria:** Proteggi > Protezione dei dati > Protezione dalla cancellazione dei dati
**Gravità:** media
**Tipo di risorsa:** `AWS::CloudFormation::Stack`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-termination-protection-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-termination-protection-check.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se uno AWS CloudFormation stack ha la protezione dalla terminazione abilitata. Il controllo fallisce se la protezione dalla terminazione non è abilitata su uno stack. CloudFormation
CloudFormation aiuta a gestire le risorse correlate come una singola unità denominata Stack. Puoi impedire che uno stack venga eliminato accidentalmente abilitando la protezione da cessazione sullo stack. Se un utente tenta di eliminare uno stack con protezione da cessazione abilitata, l’eliminazione ha esito negativo e lo stack, incluso lo stato, rimane invariato. Puoi impostare la protezione da cessazione su stack con qualsiasi stato eccetto `DELETE_IN_PROGRESS` o `DELETE_COMPLETE`.
**Nota**
Se abilitata o disabilitata su uno stack, la protezione da cessazione approva la stessa scelta anche per qualsiasi stack nidificato appartenente a tale stack. Non è possibile abilitare o disabilitare la protezione da terminazione direttamente su uno stack nidificato. Non è possibile eliminare direttamente uno stack annidato appartenente a uno stack con la protezione dalla terminazione abilitata. Se accanto al nome dello stack compare la dicitura NESTED (NIDIFICATO), si tratta di uno stack nidificato. È possibile modificare la protezione da cessazione soltanto sullo stack radice al quale appartiene lo stack nidificato.
### Correzione
*Per abilitare la protezione dalla terminazione su uno CloudFormation stack, consulta [Proteggere gli CloudFormation stack dall'](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-cfn-protect-stacks.html)eliminazione nella Guida per l'utente.AWS CloudFormation *
## [CloudFormation.4] gli CloudFormation stack devono avere ruoli di servizio associati
**Categoria:** Rileva > Gestione sicura degli accessi
**Gravità:** media
**Tipo di risorsa:** `AWS::CloudFormation::Stack`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-stack-service-role-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-stack-service-role-check.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se a uno AWS CloudFormation stack è associato un ruolo di servizio. Il controllo ha esito negativo per uno CloudFormation stack se non è associato alcun ruolo di servizio.
Ruoli di esecuzione dell' StackSets uso gestiti dal servizio tramite l'integrazione degli accessi affidabili di AWS Organizations. Il controllo genera inoltre un risultato NON RIUSCITO per uno AWS CloudFormation stack creato da service-managed StackSets perché non vi è alcun ruolo di servizio associato. A causa della modalità di StackSets autenticazione gestita dal servizio, il `roleARN` campo non può essere compilato per questi stack.
L'utilizzo dei ruoli di servizio con CloudFormation gli stack consente di implementare l'accesso con privilegi minimi separando le autorizzazioni tra l'utente che creates/updates si occupa dello stack e le autorizzazioni necessarie alle risorse. CloudFormation create/update Ciò riduce il rischio di aumento dei privilegi e aiuta a mantenere i confini di sicurezza tra i diversi ruoli operativi.
**Nota**
Non è possibile rimuovere un ruolo di servizio collegato a uno stack dopo la creazione dello stack. Altri utenti che dispongono delle autorizzazioni per eseguire operazioni su questo stack potranno usare questo ruolo, indipendentemente dal fatto che dispongano o meno dell’autorizzazione `iam:PassRole`. Se il ruolo include le autorizzazioni di cui l'utente non dovrebbe disporre, puoi riassegnare involontariamente le autorizzazioni di un utente. Assicurati che il ruolo garantisca i privilegi minimi.
### Correzione
*Per associare un ruolo di servizio a uno CloudFormation stack, consulta il [ruolo di CloudFormation servizio](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-iam-servicerole.html) nella Guida per l'utente.AWS CloudFormation *
# Controlli CSPM Security Hub per Amazon CloudFront
Questi AWS Security Hub CSPM controlli valutano il CloudFront servizio e le risorse Amazon. I controlli potrebbero non essere disponibili in tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato
**Requisiti correlati:** NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), PCI DSS v4.0.1/2.2.6
**Categoria: Protezione > Gestione sicura degli accessi** > Risorse non accessibili al pubblico
**Gravità:** alta
**Tipo di risorsa:** `AWS::CloudFront::Distribution`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-default-root-object-configured.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-default-root-object-configured.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se una CloudFront distribuzione Amazon con origini S3 è configurata per restituire un oggetto specifico che è l'oggetto root predefinito. Il controllo fallisce se la CloudFront distribuzione utilizza origini S3 e non ha un oggetto root predefinito configurato. Questo controllo non si applica alle CloudFront distribuzioni che utilizzano origini personalizzate.
A volte un utente può richiedere l'URL principale della distribuzione anziché un oggetto nella distribuzione. In tal caso, la specifica di un oggetto root predefinito può contribuire a evitare l'esposizione dei contenuti della distribuzione Web.
### Correzione
Per configurare un oggetto radice predefinito per una CloudFront distribuzione, consulta [Come specificare un oggetto radice predefinito](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/DefaultRootObject.html#DefaultRootObjectHowToDefine) nella *Amazon CloudFront Developer Guide*.
## [CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito
**Requisiti correlati:** NIST.800-53.r5 AC-1 7 (2) NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5 (1), NIST.800-53.r5 SC-1 2 (3), 3, 3 ( NIST.800-53.r5 SC-13), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), PCI DSS v4.0.1/4.2.1
**Categoria**: Protezione > Protezione dei dati > Crittografia di data-in-transit
**Gravità:** media
**Tipo di risorsa:** `AWS::CloudFront::Distribution`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-viewer-policy-https.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-viewer-policy-https.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se una CloudFront distribuzione Amazon richiede agli spettatori di utilizzare direttamente HTTPS o se utilizza il reindirizzamento. Il controllo fallisce se `ViewerProtocolPolicy` è impostato su `allow-all` for `defaultCacheBehavior` o for. `cacheBehaviors`
HTTPS (TLS) può essere utilizzato per impedire a potenziali aggressori di utilizzare person-in-the-middle o attacchi simili per intercettare o manipolare il traffico di rete. Devono essere consentite solo le connessioni crittografate tramite HTTPS (TLS). La crittografia dei dati in transito può influire sulle prestazioni. È consigliabile testare l'applicazione con questa funzionalità per comprendere il profilo delle prestazioni e l'impatto del TLS.
### Correzione
Per crittografare una CloudFront distribuzione in transito, consulta la sezione [Richiedere HTTPS per la comunicazione tra gli spettatori e CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-viewers-to-cloudfront.html) nella *Amazon CloudFront Developer Guide*.
## [CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine
**Requisiti correlati:** NIST.800-53.r5 CP-10, NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
**Categoria: Recupero > Resilienza > Alta disponibilità**
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::CloudFront::Distribution`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-origin-failover-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-origin-failover-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se una CloudFront distribuzione Amazon è configurata con un gruppo di origine che ha due o più origini.
CloudFront il failover di origine può aumentare la disponibilità. Il failover di origine reindirizza automaticamente il traffico verso un'origine secondaria se l'origine principale non è disponibile o se restituisce codici di stato di risposta HTTP specifici.
### Correzione
Per configurare il failover di origine per una CloudFront distribuzione, consulta [Creating an origin group](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/high_availability_origin_failover.html#concept_origin_groups.creating) nella *Amazon CloudFront Developer Guide*.
## [CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata
**Requisiti correlati:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.4.2 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7
**Categoria:** Identificazione > Registrazione
**Gravità:** media
**Tipo di risorsa:** `AWS::CloudFront::Distribution`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-accesslogs-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-accesslogs-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se la registrazione degli accessi al server è abilitata sulle CloudFront distribuzioni. Il controllo ha esito negativo se la registrazione dei log di accesso non è abilitata per una distribuzione. Questo controllo valuta solo se la registrazione standard (legacy) è abilitata per una distribuzione.
CloudFront i registri di accesso forniscono informazioni dettagliate su ogni richiesta utente ricevuta. CloudFront Ogni log contiene informazioni come la data e l'ora di ricezione della richiesta, l'indirizzo IP del visualizzatore che ha effettuato la richiesta, l'origine della richiesta e il numero di porta della richiesta del visualizzatore. Questi log sono utili per applicazioni quali audit di sicurezza e accesso e indagini forensi. Per ulteriori informazioni sull'analisi dei log di accesso, consulta Interroga i [ CloudFront log di Amazon](https://docs.aws.amazon.com/athena/latest/ug/cloudfront-logs.html) nella *Amazon* Athena User Guide.
### Correzione
Per configurare la registrazione standard (legacy) per una CloudFront distribuzione, consulta [Configure standard logging (legacy)](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/standard-logging-legacy-s3.html) nella *Amazon CloudFront Developer* Guide.
## [CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato
**Requisiti correlati:** NIST.800-53.r5 AC-4 (21), PCI DSS v4.0.1/6.4.2
**Categoria**: Proteggi > Servizi di protezione
**Gravità:** media
**Tipo di risorsa:** `AWS::CloudFront::Distribution`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-associated-with-waf.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-associated-with-waf.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se CloudFront le distribuzioni sono associate a AWS WAF Classic o AWS WAF Web. ACLs Il controllo ha esito negativo se la distribuzione non è associata a un ACL web.
AWS WAF è un firewall per applicazioni Web che aiuta a proteggere le applicazioni Web e APIs dagli attacchi. Consente di configurare un set di regole denominato lista di controllo degli accessi Web (ACL web) per consentire, bloccare o contare le richieste Web in base a condizioni e regole di sicurezza Web personalizzabili definite dall'utente. Assicurati che la tua CloudFront distribuzione sia associata a un ACL AWS WAF web per proteggerla da attacchi dannosi.
### Correzione
Per associare un ACL AWS WAF Web a una CloudFront distribuzione, consulta [Using AWS WAF to control access to your content](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-awswaf.html) nella *Amazon CloudFront Developer Guide*.
## [CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS
**Requisiti correlati:** NIST.800-53.r5 AC-1 7 (2), NIST.800-53.r5 IA-5 (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 (3), 3, 3 ( NIST.800-53.r5 SC-13), (4), NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2), NIST.800-53.r5 SC-8 NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), NIST.800-171.r2 3.13.15 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-8
**Categoria**: Protezione > Protezione dei dati > Crittografia di data-in-transit
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::CloudFront::Distribution`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-custom-ssl-certificate.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-custom-ssl-certificate.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se CloudFront le distribuzioni utilizzano il certificato predefinitoSSL/TLS certificate CloudFront provides. This control passes if the CloudFront distribution uses a custom SSL/TLS certificate. This control fails if the CloudFront distribution uses the default SSL/TLS.
SSL/TLS Consenti agli utenti di accedere ai contenuti in modo personalizzato utilizzando nomi di dominio alternativi. Puoi archiviare certificati personalizzati in AWS Certificate Manager (consigliato) o in IAM.
### Correzione
*Per aggiungere un nome di dominio alternativo per una CloudFront distribuzione utilizzando un certificato SSL/TLS personalizzato, consulta [Aggiungere un nome di dominio alternativo nella](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/CNAMEs.html#CreatingCNAME) Amazon Developer Guide. CloudFront *
## [CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS
**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2
**Categoria:** Protezione > Configurazione di rete protetta
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::CloudFront::Distribution`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-sni-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-sni-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se CloudFront le distribuzioni Amazon utilizzano un SSL/TLS certificato personalizzato e sono configurate per utilizzare SNI per soddisfare le richieste HTTPS. Questo controllo ha esito negativo se è associato un SSL/TLS certificato personalizzato ma il metodo di SSL/TLS supporto è un indirizzo IP dedicato.
Server Name Indication (SNI) è un'estensione del protocollo TLS supportato da browser e client rilasciati dopo il 2010. Se configuri CloudFront per servire le richieste HTTPS utilizzando SNI, CloudFront associa il nome di dominio alternativo a un indirizzo IP per ogni edge location. Quando un visualizzatore invia una richiesta HTTPS per i tuoi contenuti, il DNS instrada la richiesta all'indirizzo IP per la edge location corretta. L'indirizzo IP del nome di dominio viene determinato durante la negoziazione dell' SSL/TLS handshake; l'indirizzo IP non è dedicato alla distribuzione.
### Correzione
Per configurare una CloudFront distribuzione in modo che utilizzi SNI per soddisfare le richieste HTTPS, consulta Using [SNI to Serve HTTPS Requests (funziona per la maggior parte dei client)](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cnames-https-dedicated-ip-or-sni.html#cnames-https-sni) nella Developer Guide. CloudFront Per informazioni sui certificati SSL personalizzati, consulta [Requisiti per l'utilizzo SSL/TLS ](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cnames-and-https-requirements.html) dei certificati con. CloudFront
## [CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate
**Requisiti correlati:** NIST.800-53.r5 AC-1 7 (2), NIST.800-53.r5 IA-5 (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 (3), 3, 3, 3 ( NIST.800-53.r5 SC-13), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), PCI DSS v4.0.1/4.2.1
**Categoria**: Protezione > Protezione dei dati > Crittografia di data-in-transit
**Gravità:** media
**Tipo di risorsa:** `AWS::CloudFront::Distribution`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-traffic-to-origin-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-traffic-to-origin-encrypted.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se CloudFront le distribuzioni Amazon stanno crittografando il traffico verso origini personalizzate. Questo controllo non riesce per una CloudFront distribuzione la cui politica del protocollo di origine consente «solo http». Questo controllo fallisce anche se la politica del protocollo di origine della distribuzione è «match-viewer» mentre la politica del protocollo del visualizzatore è «allow-all».
HTTPS (TLS) può essere utilizzato per impedire l'intercettazione o la manipolazione del traffico di rete. Devono essere consentite solo le connessioni crittografate tramite HTTPS (TLS).
### Correzione
Per aggiornare la politica del protocollo di origine per richiedere la crittografia per una CloudFront connessione, consulta [Richiedere HTTPS per la comunicazione tra CloudFront e la tua origine personalizzata](https://docs.aws.amazon.com//AmazonCloudFront/latest/DeveloperGuide/using-https-cloudfront-to-custom-origin.html) nella *Amazon CloudFront Developer Guide*.
## [CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate
**Requisiti correlati:** NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, 2 NIST.800-53.r5 IA-5 (3), 3, (4), (1), NIST.800-53.r5 SC-1 ( NIST.800-53.r5 SC-12), NIST.800-53.r5 SC-2 NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-8 (6) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-171.r2 3.13.15, PCI DSS v4.0.1/4.2.1
**Categoria**: Protezione > Protezione dei dati > Crittografia di data-in-transit
**Gravità:** media
**Tipo di risorsa:** `AWS::CloudFront::Distribution`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-no-deprecated-ssl-protocols.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-no-deprecated-ssl-protocols.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se CloudFront le distribuzioni Amazon utilizzano protocolli SSL obsoleti per la comunicazione HTTPS tra le CloudFront edge location e le tue origini personalizzate. Questo controllo fallisce se una CloudFront distribuzione include un where include. `CustomOriginConfig` `OriginSslProtocols` `SSLv3`
Nel 2015, l'Internet Engineering Task Force (IETF) ha annunciato ufficialmente che SSL 3.0 dovrebbe essere obsoleto a causa della scarsa sicurezza del protocollo. Si consiglia di utilizzare TLSv1 .2 o versioni successive per la comunicazione HTTPS con le origini personalizzate.
### Correzione
Per aggiornare i protocolli SSL di origine per una CloudFront distribuzione, consulta [Richiedere HTTPS per la comunicazione tra CloudFront e la tua origine personalizzata](https://docs.aws.amazon.com//AmazonCloudFront/latest/DeveloperGuide/using-https-cloudfront-to-custom-origin.html) nella *Amazon CloudFront Developer Guide*.
## [CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti
**Requisiti correlati:** NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2 (2), PCI DSS v4.0.1/2.2.6
**Categoria**: Identificazione > Configurazione delle risorse
**Gravità:** alta
**Tipo di risorsa:** `AWS::CloudFront::Distribution`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-s3-origin-non-existent-bucket.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-s3-origin-non-existent-bucket.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se CloudFront le distribuzioni Amazon puntano a origini Amazon S3 inesistenti. Il controllo fallisce per una CloudFront distribuzione se l'origine è configurata in modo da puntare a un bucket inesistente. Questo controllo si applica solo alle CloudFront distribuzioni in cui un bucket S3 senza hosting di siti Web statici è l'origine di S3.
Quando una CloudFront distribuzione nel tuo account è configurata in modo che punti a un bucket inesistente, una terza parte malintenzionata può creare il bucket di riferimento e pubblicare i propri contenuti tramite la tua distribuzione. Ti consigliamo di controllare tutte le origini indipendentemente dal comportamento di routing per assicurarti che le distribuzioni puntino alle origini appropriate.
### Correzione
Per modificare una CloudFront distribuzione in modo che punti a una nuova origine, consulta la sezione [Aggiornamento di una distribuzione](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/HowToUpdateDistribution.html) nell'*Amazon CloudFront Developer Guide*.
## [CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine
**Categoria:** Proteggi > Gestione sicura degli accessi > Risorsa non accessibile al pubblico
**Gravità:** media
**Tipo di risorsa:** `AWS::CloudFront::Distribution`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-s3-origin-access-control-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-s3-origin-access-control-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se una CloudFront distribuzione Amazon con un'origine Amazon S3 ha configurato il controllo dell'accesso all'origine (OAC). Il controllo fallisce se OAC non è configurato per la distribuzione. CloudFront
Quando usi un bucket S3 come origine per la tua CloudFront distribuzione, puoi abilitare OAC. Ciò consente l'accesso al contenuto del bucket solo tramite la CloudFront distribuzione specificata e proibisce l'accesso diretto dal bucket o da un'altra distribuzione. Sebbene CloudFront supporti Origin Access Identity (OAI), OAC offre funzionalità aggiuntive e le distribuzioni che utilizzano OAI possono migrare verso OAC. Sebbene OAI fornisca un modo sicuro per accedere alle origini di S3, presenta delle limitazioni, come la mancanza di supporto per le configurazioni granulari delle policy e per le HTTP/HTTPS richieste che utilizzano il metodo POST e che richiedono la versione 4 della firma (SigV4). Regioni AWS AWS OAI inoltre non supporta la crittografia con. AWS Key Management Service OAC si basa su una AWS best practice di utilizzo dei principali di servizio IAM per l'autenticazione con le origini S3.
### Correzione
*Per configurare OAC per una CloudFront distribuzione con origini S3, consulta [Restricting access to an Amazon S3 origin nella Amazon Developer Guide](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html). CloudFront *
## [CloudFront.14] le distribuzioni devono essere etichettate CloudFront
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::CloudFront::Distribution`
**AWS Config regola:** `tagged-cloudfront-distribution` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se una CloudFront distribuzione Amazon ha tag con le chiavi specifiche definite nel parametro`requiredTagKeys`. Il controllo fallisce se la distribuzione non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se la distribuzione non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
Per aggiungere tag a una CloudFront distribuzione, consulta [Tagging Amazon CloudFront distribution](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/tagging.html) nella *Amazon CloudFront Developer* Guide.
## [CloudFront.15] CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata
**Categoria:** Proteggi > Protezione dei dati > Crittografia di data-in-transit
**Gravità:** media
**Tipo di risorsa:** `AWS::CloudFront::Distribution`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-ssl-policy-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-ssl-policy-check.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**`securityPolicies`: `TLSv1.2_2021,TLSv1.2_2025,TLSv1.3_2025` (non personalizzabile)
Questo controllo verifica se una CloudFront distribuzione Amazon è configurata per utilizzare una politica di sicurezza TLS consigliata. Il controllo fallisce se la CloudFront distribuzione non è configurata per utilizzare una politica di sicurezza TLS consigliata.
Se configuri una CloudFront distribuzione Amazon per richiedere agli utenti di utilizzare HTTPS per accedere ai contenuti, devi scegliere una politica di sicurezza e specificare la versione minima del SSL/TLS protocollo da utilizzare. Ciò determina la versione del protocollo CloudFront utilizzata per comunicare con gli spettatori e i codici CloudFront utilizzati per crittografare le comunicazioni. Si consiglia di utilizzare la politica di sicurezza più recente fornita. CloudFront Ciò garantisce l' CloudFront utilizzo delle suite di crittografia più recenti per crittografare i dati in transito tra un visualizzatore e una distribuzione. CloudFront
**Nota**
Questo controllo genera risultati solo per CloudFront le distribuzioni configurate per utilizzare certificati SSL personalizzati e non sono configurate per supportare client legacy.
### Correzione
Per informazioni sulla configurazione della politica di sicurezza per una CloudFront distribuzione, consulta [Aggiornare una distribuzione](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/HowToUpdateDistribution.html) nella *Amazon CloudFront Developer Guide*. Quando configuri la politica di sicurezza per una distribuzione, scegli la politica di sicurezza più recente.
## [CloudFront.16] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine per le origini degli URL della funzione Lambda
**Categoria:** Protezione > Gestione sicura degli accessi > Controllo degli accessi
**Gravità:** media
**Tipo di risorsa:** `AWS::CloudFront::Distribution`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-origin-lambda-url-oac-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-origin-lambda-url-oac-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se una CloudFront distribuzione Amazon con un URL di AWS Lambda funzione come origine ha il controllo dell'accesso all'origine (OAC) abilitato. Il controllo fallisce se la CloudFront distribuzione ha un URL della funzione Lambda come origine e l'OAC non è abilitato.
L'URL di una AWS Lambda funzione è un endpoint HTTPS dedicato per una funzione Lambda. Se l'URL di una funzione Lambda è l'origine di una CloudFront distribuzione, l'URL della funzione deve essere accessibile pubblicamente. Pertanto, come best practice di sicurezza, è necessario creare un OAC e aggiungerlo all'URL della funzione Lambda in una distribuzione. OAC utilizza i principali del servizio IAM per autenticare le richieste tra CloudFront e l'URL della funzione. Supporta inoltre l'uso di politiche basate sulle risorse per consentire l'invocazione di una funzione solo se una richiesta è per conto di una distribuzione specificata nella policy. CloudFront
### Correzione
*Per informazioni sulla configurazione di OAC per una CloudFront distribuzione Amazon che utilizza l'URL di una funzione Lambda come origine, consulta [Restrict access to an AWS Lambda function URL origin nella](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-lambda.html) Amazon Developer Guide. CloudFront *
## [CloudFront.17] CloudFront le distribuzioni devono utilizzare gruppi di chiavi affidabili per i file firmati e i cookie URLs
**Categoria:** Protezione > Gestione sicura degli accessi > Controllo degli accessi
**Gravità:** media
**Tipo di risorsa:** `AWS::CloudFront::Distribution`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-distribution-key-group-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-distribution-key-group-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se una CloudFront distribuzione Amazon è configurata per utilizzare gruppi di chiavi affidabili per l'autenticazione di URL firmati o cookie firmati. Il controllo fallisce se la CloudFront distribuzione utilizza firmatari attendibili o se non è configurata alcuna autenticazione.
Per utilizzare i cookie firmati URLs o firmati, è necessario un firmatario. Un firmatario è un gruppo di chiavi attendibile in cui CloudFront crei o un AWS account che contiene una coppia di CloudFront chiavi. Ti consigliamo di utilizzare gruppi di chiavi affidabili perché con i gruppi di CloudFront chiavi non è necessario utilizzare l'utente root dell' AWS account per gestire le chiavi pubbliche per i cookie CloudFront firmati URLs e firmati.
**Nota**
Questo controllo non valuta le distribuzioni multi-tenant. CloudFront `(connectionMode=tenant-only)`
### Correzione
Per informazioni sull'utilizzo di gruppi di chiavi affidabili con signature URLs e cookie, consulta [Using trusted key groups](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/PrivateContent.html) nella *Amazon CloudFront Developer Guide*.
# Controlli CSPM Security Hub per AWS CloudTrail
Questi AWS Security Hub CSPM controlli valutano il AWS CloudTrail servizio e le risorse. I controlli potrebbero non essere disponibili in tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [CloudTrail.1] CloudTrail deve essere abilitato e configurato con almeno un percorso multiregionale che includa eventi di gestione di lettura e scrittura
**Requisiti correlati:** CIS AWS Foundations Benchmark v5.0.0/3.1, CIS Foundations Benchmark v1.2.0/2.1, CIS AWS Foundations Benchmark v1.4.0/3.1, CIS AWS Foundations Benchmark v3.0.0/3.1, (4), (26), (9), (9), ( AWS 22) NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-6 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-14(1), NIST.800-53.r5 CA-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SI-3(8), NIST.800-53.r5 SI-4(20), NIST.800-53.r5 SI-7(8), NIST.800-53.r5 SA-8
**Categoria:** Identificazione > Registrazione
**Gravità:** alta
**Tipo di risorsa:** `AWS::::Account`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/multi-region-cloudtrail-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/multi-region-cloudtrail-enabled.html)
**Tipo di pianificazione:** periodica
**Parametri:**
+ `readWriteType`: `ALL` (non personalizzabile)
`includeManagementEvents`: `true` (non personalizzabile)
Questo controllo verifica se esiste almeno un AWS CloudTrail percorso multiregionale che acquisisce gli eventi di gestione di lettura e scrittura. Il controllo fallisce se CloudTrail è disabilitato o se non esiste almeno una CloudTrail traccia che acquisisca gli eventi di gestione di lettura e scrittura.
AWS CloudTrail registra le chiamate AWS API per il tuo account e ti invia i file di registro. Le informazioni registrate includono le seguenti informazioni:
+ Identità del chiamante API
+ Ora della chiamata API
+ Indirizzo IP di origine del chiamante API
+ Parametri della richiesta
+ Elementi di risposta restituiti da Servizio AWS
CloudTrail fornisce una cronologia delle chiamate AWS API per un account, incluse le chiamate API effettuate dagli strumenti della Console di gestione AWS riga di comando. AWS SDKs La cronologia include anche le chiamate API di livello superiore Servizi AWS come. AWS CloudFormation
La cronologia delle chiamate AWS API prodotta da CloudTrail consente l'analisi della sicurezza, il monitoraggio delle modifiche alle risorse e il controllo della conformità. I trail basati su più regioni offrono anche i seguenti vantaggi.
+ Un trail basato su più regioni aiuta a rilevare le attività impreviste che si verificano in regioni altrimenti inutilizzate.
+ Un trail basato su più regioni garantisce che la registrazione dei servizi globali sia abilitata per un trail per impostazione predefinita. La registrazione degli eventi di servizio globale registra gli eventi generati dai servizi AWS globali.
+ Per un percorso multiregionale, gli eventi di gestione per tutte le operazioni di lettura e scrittura assicurano che le operazioni di gestione dei CloudTrail record su tutte le risorse in un unico file. Account AWS
Per impostazione predefinita, i CloudTrail percorsi creati utilizzando i percorsi Console di gestione AWS sono multiregionali.
### Correzione
Per creare un nuovo percorso multiregionale in CloudTrail, vedi [Creazione di un percorso nella Guida](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) per l'*AWS CloudTrail utente*. Utilizzare i seguenti valori:
| Campo | Valore |
| --- | --- |
| Impostazioni aggiuntive, Convalida del file di registro | Abilitato |
| Scegli gli eventi di registro, gli eventi di gestione, l'attività delle API | **Leggi** e **scrivi**. Deseleziona le caselle di controllo per le esclusioni. |
Per aggiornare un percorso esistente, vedi [Aggiornamento di un percorso](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-update-a-trail-console.html) nella *Guida per l'AWS CloudTrail utente*. In **Management events**, per **l'attività dell'API**, scegli **Leggi** e **scrivi**.
## [CloudTrail.2] CloudTrail dovrebbe avere la crittografia a riposo abilitata
**Requisiti correlati:** benchmark CIS AWS Foundations v5.0.0/3.5, benchmark CIS Foundations v1.2.0/2.7, benchmark CIS AWS Foundations v1.4.0/3.7, benchmark CIS AWS Foundations v3.0.0/3.5, (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8 (1), 8 NIST.800-53.r5 AU-9, NIST.800-53.r5 CA-9 (1), (10), NIST.800-53.r5 SI-7 (6), NIST.800-171.r2 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2 3.3.8, PCI DCI SS versione 3.2.1/3.4, NIST.800-53.r5 SC-7 PCI DSS versione 4.0.1/10.3.2 AWS
**Categoria:** Protezione > Protezione dei dati > Crittografia di data-at-rest
**Gravità:** media
**Tipo di risorsa:** `AWS::CloudTrail::Trail`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-encryption-enabled.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se CloudTrail è configurato per utilizzare la crittografia lato server (SSE). AWS KMS key Il controllo ha esito negativo se non `KmsKeyId` è definito.
Per un ulteriore livello di sicurezza per i file di CloudTrail registro sensibili, è consigliabile utilizzare la [crittografia lato server con AWS KMS keys (SSE-KMS)](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingKMSEncryption.html) per i file di CloudTrail registro per la crittografia a riposo. Tieni presente che, per impostazione predefinita, i file di log forniti dai CloudTrail tuoi bucket sono crittografati mediante crittografia [lato server di Amazon con chiavi di crittografia gestite da Amazon S3 (SSE-S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingServerSideEncryption.html)).
### Correzione
*Per abilitare la crittografia SSE-KMS per i file di CloudTrail registro, consulta [Aggiornare un percorso per utilizzare una](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/create-kms-key-policy-for-cloudtrail-update-trail.html#kms-key-policy-update-trail) chiave KMS nella Guida per l'utente.AWS CloudTrail *
## [CloudTrail.3] Almeno un trail deve essere abilitato CloudTrail
**Requisiti correlati:** NIST.800-171.r2 3.3.1, NIST.800-171.r2 3.14.6, NIST.800-171.r2 3.14.7, PCI DSS versione 3.2.1/10.1, PCI DSS versione 3.2.1/10.2.1, PCI DSS versione 3.2.1/10.2.2, PCI DSS versione 3.2.1/10.2.3, PCI DSS versione 3.2.1/10.2.4, PCI DSS versione 3.2.1/10.2.3 DSS versione 3.2.1/10.2.5, PCI DSS versione 3.2.1/10.2.6, PCI DSS versione 3.2.1/10.2.7, PCI DSS versione 3.2.1/10.3.1, PCI DSS versione 3.2.1/10.3.2, PCI DSS versione 3.2.1/10.3.3, PCI DSS versione 3.2.1/10.3.4, PCI DSS versione 3.2.1/10.3.4, PCI DSS versione 3.2.1/10.3.5, PCI DSS versione 3.2.1/10.3.5, PCI DSS versione 3.2.1/10.3.5 3.6, PCI DSS versione 4.0.1/10.2.1
**Categoria:** Identificazione > Registrazione
**Gravità:** alta
**Tipo di risorsa:** `AWS::::Account`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-enabled.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se un AWS CloudTrail percorso è abilitato nel tuo Account AWS. Il controllo fallisce se il tuo account non ha almeno un CloudTrail trail abilitato.
Tuttavia, alcuni AWS servizi non consentono la registrazione di tutti APIs gli eventi. È necessario implementare eventuali percorsi di controllo aggiuntivi diversi da quelli indicati nella sezione [Servizi CloudTrail e integrazioni CloudTrail supportati e](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html) consultare la documentazione relativa a ciascun servizio.
### Correzione
Per iniziare CloudTrail e creare un percorso, consulta il [AWS CloudTrail tutorial Guida introduttiva](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-tutorial.html) nella *Guida per l'AWS CloudTrail utente*.
## [CloudTrail.4] la convalida dei file di CloudTrail registro dovrebbe essere abilitata
**Requisiti correlati:** benchmark CIS AWS Foundations v5.0.0/3.2, benchmark CIS Foundations v1.2.0/2.2, benchmark CIS AWS Foundations v1.4.0/3.2, benchmark CIS AWS Foundations v3.0.0/3.2, NIST.800-53.r5 AU-9, NIST.800-53.r5 SI-4, NIST.800-53.r5 SI-7 (1), NIST.800-53.r5 SI-7 (1) 3), NIST.800-53.r5 SI-7 (7), NIST.800-171.r2 3.3.8, PCI DSS versione 3.2.1/10.5.2, PCI DSS versione 3.2.1/10.5.5, PCI DSS versione 4.0.1/10.3.2 AWS
**Categoria:** Protezione dei dati > Integrità dei dati
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::CloudTrail::Trail`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-log-file-validation-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-log-file-validation-enabled.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se la convalida dell'integrità dei file di registro è abilitata su una CloudTrail traccia.
CloudTrail la convalida dei file di registro crea un file digest con firma digitale che contiene un hash di ogni log che scrive CloudTrail su Amazon S3. Puoi utilizzare questi file digest per determinare se un file di registro è stato modificato, eliminato o è rimasto invariato dopo la consegna del log. CloudTrail
Security Hub CSPM consiglia di abilitare la convalida dei file su tutti i percorsi. La convalida dei file di registro fornisce ulteriori controlli di integrità dei registri. CloudTrail
### Correzione
*Per abilitare la convalida dei file di CloudTrail registro, vedere [Attivazione della convalida dell'integrità dei file di registro CloudTrail nella Guida per](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-log-file-validation-enabling.html) l'utente.AWS CloudTrail *
## [CloudTrail.5] i CloudTrail trail devono essere integrati con Amazon Logs CloudWatch
**Requisiti correlati:** benchmark CIS AWS Foundations versione 5.0.0/3.4, PCI DSS versione 3.2.1/10.5.3, benchmark CIS Foundations versione 1.2.0/2.4, benchmark CIS AWS Foundations versione 1.4.0/3.4, NIST.800-53.r5 AC-2 (4), (26), (9), (9), (9), NIST.800-53.r5 SI-20, NIST.800-53.r5 SI-3 (8), NIST.800-53.r5 SI-3 (8), NIST.800-53.r5 SI-3 (8), NIST.800-53.r5 SI-3 (8), NIST.800-53.r5 SI-3 NIST.800-53.r5 AC-4 (8), NIST.800-53.r5 SI-3 NIST.800-53.r5 AC-6 (8), NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 AU-7(1), NIST.800-53.r5 CA-7, NIST.800-5-53,5 SI-4 (20), NIT. 800-53.r5 SI-4 (5), NIT 800-53.5 SI-7 (8) AWS
**Categoria:** Identificazione > Registrazione
**Gravità:** media
**Tipo di risorsa:** `AWS::CloudTrail::Trail`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-cloud-watch-logs-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-cloud-watch-logs-enabled.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se i CloudTrail trail sono configurati per inviare log a CloudWatch Logs. Il controllo fallisce se la `CloudWatchLogsLogGroupArn` proprietà del percorso è vuota.
CloudTrail registra le chiamate AWS API effettuate in un determinato account. Le informazioni registrate includono quanto segue:
+ L'identità del chiamante dell'API
+ L'ora della chiamata API
+ L'indirizzo IP di origine del chiamante API
+ I parametri della richiesta
+ Gli elementi di risposta restituiti da Servizio AWS
CloudTrail utilizza Amazon S3 per l'archiviazione e la distribuzione dei file di registro. Puoi acquisire CloudTrail i log in un bucket S3 specificato per analisi a lungo termine. Per eseguire analisi in tempo reale, puoi configurare l'invio dei log CloudTrail a Logs. CloudWatch
Per un percorso abilitato in tutte le regioni di un account, CloudTrail invia i file di registro da tutte le regioni a un gruppo di log dei CloudWatch registri.
Security Hub CSPM consiglia di inviare i log a CloudTrail Logs. CloudWatch Tieni presente che questa raccomandazione ha lo scopo di garantire che l'attività dell'account venga rilevata, monitorata e attivata in modo appropriato. Puoi usare CloudWatch Logs per configurarlo con il tuo. Servizi AWS Questa raccomandazione non preclude l'uso di una soluzione diversa.
L'invio di CloudTrail log a CloudWatch Logs facilita la registrazione storica e in tempo reale delle attività in base a utente, API, risorsa e indirizzo IP. È possibile utilizzare questo approccio per stabilire allarmi e notifiche per attività anomale o riservate dell'account.
### Correzione
*Per l'integrazione CloudTrail con CloudWatch i registri, consulta [Invio di eventi ai CloudWatch registri nella Guida per](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/send-cloudtrail-events-to-cloudwatch-logs.html) l'utente.AWS CloudTrail *
## [CloudTrail.6] Assicurati che il bucket S3 utilizzato per archiviare i log non sia accessibile al pubblico CloudTrail
**Requisiti correlati:** CIS Foundations Benchmark v1.2.0/2.3, CIS AWS Foundations Benchmark v1.4.0/3.3, PCI DSS v4.0.1/1.4.4 AWS
**Categoria:** Identificazione > Registrazione
**Severità:** critica
**Tipo di risorsa:** `AWS::S3::Bucket`
**AWS Config regola:** Nessuna (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione:** periodica e con attivazione di modifiche
**Parametri:** nessuno
CloudTrail registra un record di ogni chiamata API effettuata nel tuo account. Questi file di log sono archiviati in un bucket S3. Il CIS consiglia di applicare la policy del bucket S3, o lista di controllo degli accessi (ACL), al bucket S3 che CloudTrail registra per impedire l'accesso pubblico ai log. CloudTrail Consentire l'accesso pubblico ai contenuti dei CloudTrail log potrebbe aiutare un avversario a identificare i punti deboli nell'uso o nella configurazione dell'account interessato.
Per eseguire questo controllo, Security Hub CSPM utilizza innanzitutto una logica personalizzata per cercare il bucket S3 in cui sono archiviati i CloudTrail log. Utilizza quindi le regole AWS Config gestite per verificare che il bucket sia accessibile pubblicamente.
Se aggregate i log in un unico bucket S3 centralizzato, Security Hub CSPM esegue il controllo solo rispetto all'account e alla regione in cui si trova il bucket S3 centralizzato. **Per altri account e regioni, lo stato del controllo è Nessun dato.**
Se il bucket è accessibile pubblicamente, il controllo genera un risultato non riuscito.
### Correzione
Per bloccare l'accesso pubblico al tuo bucket CloudTrail S3, consulta [Configurazione delle impostazioni di blocco dell'accesso pubblico per i tuoi bucket S3 nella Guida per](https://docs.aws.amazon.com/AmazonS3/latest/userguide/configuring-block-public-access-bucket.html) l'utente di *Amazon Simple Storage Service*. Seleziona tutte e quattro le impostazioni di accesso pubblico a blocchi di Amazon S3.
## [CloudTrail.7] Assicurati che la registrazione degli accessi al bucket S3 sia abilitata sul bucket S3 CloudTrail
**Requisiti correlati:** CIS Foundations Benchmark v1.2.0/2.6, CIS AWS Foundations Benchmark v1.4.0/3.6, CIS Foundations Benchmark v3.0.0/3.4, PCI DSS AWS v4.0.1/10.2.1 AWS
**Categoria:** Identificazione > Registrazione
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::S3::Bucket`
**AWS Config regola:** Nessuna (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: periodica**
**Parametri:** nessuno
La registrazione degli accessi al bucket S3 genera un registro che contiene i record di accesso per ogni richiesta effettuata al bucket S3. Un record dei log di accesso contiene dettagli sulla richiesta, ad esempio il tipo di richiesta, le risorse specificate nella richiesta e l'ora e la data di elaborazione della richiesta.
Il CIS consiglia di abilitare la registrazione degli accessi ai bucket sul bucket S3. CloudTrail
L'abilitazione della registrazione di bucket S3 su bucket S3 di destinazione consente di acquisire tutti gli eventi che potrebbero influenzare gli oggetti in un bucket di destinazione. La configurazione dei log da inserire in un bucket separato consente l'accesso alle informazioni di log, che possono essere utili nei flussi di lavoro di risposta a sicurezza ed errori.
Per eseguire questo controllo, Security Hub CSPM utilizza innanzitutto la logica personalizzata per cercare il bucket in cui sono archiviati CloudTrail i log e quindi utilizza la regola AWS Config gestita per verificare se la registrazione è abilitata.
Se CloudTrail invia file di log da più bucket Amazon S3 Account AWS in un unico bucket Amazon S3 di destinazione, Security Hub CSPM valuta questo controllo solo rispetto al bucket di destinazione nella regione in cui si trova. Questo semplifica le tue scoperte. Tuttavia, dovresti attivare CloudTrail tutti gli account che inviano i log al bucket di destinazione. **Per tutti gli account tranne quello che contiene il bucket di destinazione, lo stato del controllo è Nessun dato.**
### Correzione
*Per abilitare la registrazione dell'accesso al server per il tuo bucket CloudTrail S3, consulta Enabling Amazon [S3 server access logging nella Amazon Simple](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html#enable-server-logging) Storage Service User Guide.*
## [CloudTrail.9] i percorsi devono essere etichettati CloudTrail
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::CloudTrail::Trail`
**AWS Config regola:** `tagged-cloudtrail-trail` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | No default value |
Questo controllo verifica se un AWS CloudTrail percorso contiene tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se il percorso non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il percorso non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
Per aggiungere tag a un CloudTrail percorso, consulta l'*AWS CloudTrail API [AddTags](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_AddTags.html)*Reference.
## [CloudTrail.10] Gli archivi dati degli eventi di CloudTrail Lake devono essere crittografati con Customer Managed AWS KMS keys
**Requisiti correlati:** NIST.800-53.r5 AU-9, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SC-1 2 (2), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2 8 (1), NIST.800-53.R5 SI-7 (6)
**Categoria: Protezione > Protezione** dei dati > Crittografia di data-at-rest
**Gravità:** media
**Tipo di risorsa:** `AWS::CloudTrail::EventDataStore`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/event-data-store-cmk-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/event-data-store-cmk-encryption-enabled.html)
**Tipo di pianificazione:** periodica
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| `kmsKeyArns` | Un elenco di Amazon Resource Names (ARNs) AWS KMS keys da includere nella valutazione. Il controllo genera un `FAILED` risultato se un archivio dati di eventi non è crittografato con una chiave KMS nell'elenco. | StringList (massimo 3 articoli) | 1-3 ARNs delle chiavi KMS esistenti. Ad esempio: `arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab`. | Nessun valore predefinito |
Questo controllo verifica se un data store di eventi AWS CloudTrail Lake è crittografato quando è inattivo e gestito da un cliente. AWS KMS key Il controllo fallisce se l'archivio dati degli eventi non è crittografato con una chiave KMS gestita dal cliente. Facoltativamente, puoi specificare un elenco di chiavi KMS per il controllo da includere nella valutazione.
Per impostazione predefinita, AWS CloudTrail Lake crittografa gli archivi di dati degli eventi con chiavi gestite di Amazon S3 (SSE-S3), utilizzando un algoritmo AES-256. Per un controllo aggiuntivo, puoi invece configurare CloudTrail Lake in modo che crittografi un archivio dati di eventi con un archivio gestito dal cliente (SSE-KMS). AWS KMS key Una chiave KMS gestita dal cliente è una chiave AWS KMS key che puoi creare, possedere e gestire in tuo. Account AWS Hai il pieno controllo su questo tipo di chiave KMS. Ciò include la definizione e il mantenimento della politica chiave, la gestione delle sovvenzioni, la rotazione del materiale crittografico, l'assegnazione di tag, la creazione di alias e l'attivazione e la disabilitazione della chiave. È possibile utilizzare una chiave KMS gestita dal cliente nelle operazioni crittografiche per i dati e verificarne l'utilizzo con i log. CloudTrail CloudTrail
### Correzione
*Per informazioni sulla crittografia di un data store di eventi AWS CloudTrail Lake con un AWS KMS key valore specificato, consulta [Update an event data store](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/query-event-data-store-update.html) nella Guida per l'utente.AWS CloudTrail * Dopo aver associato un datastore di eventi a una chiave KMS, la chiave KMS non potrà essere rimossa o modificata.
# Controlli CSPM Security Hub per Amazon CloudWatch
Questi AWS Security Hub CSPM controlli valutano il CloudWatch servizio e le risorse Amazon. I controlli potrebbero non essere disponibili tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [CloudWatch.1] Dovrebbero esistere un filtro logmetrico e un allarme per l'utilizzo da parte dell'utente «root»
**Requisiti correlati:** benchmark CIS AWS Foundations v1.2.0/1.1, benchmark CIS AWS Foundations v1.2.0/3.3, benchmark CIS Foundations v1.4.0/1.7, benchmark CIS AWS Foundations v1.4.0/4.3, NIST.800-171.r2 3.14.6, NIST.800-171.r2 3.14.7, PCI DSS v3.2.1/7.2.1 AWS
**Categoria:** Rilevamento > Servizi di rilevamento
**Gravità: ** bassa
**`AWS::CloudWatch::Alarm``AWS::CloudTrail::Trail`Tipo di risorsa:,,** `AWS::Logs::MetricFilter` `AWS::SNS::Topic`
**AWS Config regola:** Nessuna (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: periodica**
**Parametri:** nessuno
L'utente root ha accesso illimitato a tutti i servizi e le risorse in un file. Account AWS Si consiglia vivamente di evitare di utilizzare l'utente root per le attività quotidiane. La riduzione al minimo dell'uso dell'utente root e l'adozione del principio del privilegio minimo per la gestione degli accessi riducono il rischio di modifiche accidentali e di divulgazione involontaria di credenziali altamente privilegiate.
[Come procedura ottimale, è consigliabile utilizzare le credenziali dell'utente root solo quando necessario per eseguire attività di gestione degli account e dei servizi.](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html) Applica le policy AWS Identity and Access Management (IAM) direttamente ai gruppi e ai ruoli ma non agli utenti. Per un tutorial su come configurare un amministratore per l'uso quotidiano, consulta [Creazione del primo utente e gruppo di amministratori IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html) nella *Guida per l'utente IAM*
Per eseguire questo controllo, Security Hub CSPM utilizza una logica personalizzata per eseguire i passaggi di controllo esatti prescritti per il controllo 1.7 nel [CIS AWS Foundations Benchmark v1.4.0](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1). Questo controllo non riesce se non vengono utilizzati i filtri di parametri esatti prescritti da CIS. Non è possibile aggiungere campi o termini ulteriori ai filtri di parametri.
**Nota**
Quando Security Hub CSPM esegue il controllo per questo controllo, cerca le CloudTrail tracce utilizzate dall'account corrente. Questi percorsi potrebbero essere percorsi organizzativi che appartengono a un altro account. I percorsi multiregionali potrebbero anche avere sede in una regione diversa.
Il controllo dà `FAILED` risultati nei seguenti casi:
Nessun percorso è configurato.
I percorsi disponibili che si trovano nella regione corrente e che sono di proprietà dell'account corrente non soddisfano i requisiti di controllo.
Il controllo determina uno stato di controllo pari `NO_DATA` a nei seguenti casi:
Un percorso multiregionale ha sede in una regione diversa. Security Hub CSPM può generare risultati solo nella regione in cui si trova il percorso.
Un percorso multiregionale appartiene a un account diverso. Security Hub CSPM può generare risultati solo per l'account proprietario del percorso.
Consigliamo gli itinerari organizzativi per registrare gli eventi di molti account di un'organizzazione. Gli itinerari organizzativi sono percorsi multiregionali per impostazione predefinita e possono essere gestiti solo dall'account di AWS Organizations gestione o dall'account amministratore CloudTrail delegato. L'utilizzo di un percorso organizzativo comporta uno stato di controllo pari a `NO_DATA` per i controlli valutati negli account dei membri dell'organizzazione. Negli account dei membri, Security Hub CSPM genera risultati solo per le risorse di proprietà dei membri. I risultati relativi agli itinerari organizzativi vengono generati nell'account del proprietario della risorsa. Puoi visualizzare questi risultati nel tuo account amministratore delegato CSPM di Security Hub utilizzando l'aggregazione tra regioni.
Per l'allarme, l'account corrente deve essere proprietario dell'argomento Amazon SNS di riferimento o deve accedere all'argomento Amazon SNS chiamando. `ListSubscriptionsByTopic` Altrimenti Security Hub CSPM genera `WARNING` risultati per il controllo.
### Correzione
Per passare questo controllo, segui questi passaggi per creare un argomento Amazon SNS, un AWS CloudTrail percorso, un filtro metrico e un allarme per il filtro metrico.
1. Creazione di un argomento Amazon SNS. Per istruzioni, consulta la sezione [Guida introduttiva ad Amazon SNS nella Guida per gli sviluppatori di Amazon Simple](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) *Notification Service*. Crea un argomento che riceva tutti gli allarmi CIS e crea almeno un abbonamento all'argomento.
1. Crea un CloudTrail percorso valido per tutti. Regioni AWS Per istruzioni, consulta [Creazione di un percorso](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) nella *Guida AWS CloudTrail per l'utente*.
Prendi nota del nome del gruppo di log CloudWatch Logs che associ al CloudTrail percorso. Il filtro metrico per quel gruppo di log viene creato nel passaggio successivo.
1. Creazione di un filtro parametri. Per istruzioni, consulta [Creare un filtro metrico per un gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) nella *Amazon CloudWatch User Guide*. Utilizzare i seguenti valori:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/cloudwatch-controls.html)
1. Crea un allarme basato sul filtro. Per istruzioni, consulta [Creare un CloudWatch allarme basato su un filtro metrico del gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) nella *Amazon CloudWatch * User Guide. Utilizzare i seguenti valori:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/cloudwatch-controls.html)
## [CloudWatch.2] Assicurati che esistano un filtro metrico di log e un allarme per le chiamate API non autorizzate
**Requisiti correlati:** CIS AWS Foundations Benchmark v1.2.0/3.1, NIST.800-171.r2 3.13.1, NIST.800-171.r2 3.14.6, NIST.800-171.r2 3.14.7
**Categoria:** Rilevamento > Servizi di rilevamento
**Gravità: ** bassa
**`AWS::Logs::MetricFilter`Tipo** `AWS::CloudWatch::Alarm` `AWS::CloudTrail::Trail` di risorsa:,, `AWS::SNS::Topic`
**AWS Config regola:** Nessuna (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: periodica**
**Parametri:** nessuno
Puoi monitorare in tempo reale le chiamate API indirizzando i log verso CloudTrail Logs e stabilendo i filtri CloudWatch metrici e gli allarmi corrispondenti.
Il CIS consiglia di creare un filtro metrico e un allarme per le chiamate API non autorizzate. Il monitoraggio delle chiamate API non autorizzate consente di rilevare errori dell'applicazione e ridurre il tempo necessario per individuare attività malevola.
Per eseguire questo controllo, Security Hub CSPM utilizza una logica personalizzata per eseguire gli esatti passaggi di controllo prescritti per il controllo 3.1 nel [CIS AWS Foundations Benchmark v1.2](https://d1.awsstatic.com/whitepapers/compliance/AWS_CIS_Foundations_Benchmark.pdf). Questo controllo non riesce se non vengono utilizzati i filtri di parametri esatti prescritti da CIS. Non è possibile aggiungere campi o termini ulteriori ai filtri di parametri.
**Nota**
Quando Security Hub CSPM esegue il controllo per questo controllo, cerca le CloudTrail tracce utilizzate dall'account corrente. Questi percorsi potrebbero essere percorsi organizzativi che appartengono a un altro account. I percorsi multiregionali potrebbero anche avere sede in una regione diversa.
Il controllo dà `FAILED` risultati nei seguenti casi:
Nessun percorso è configurato.
I percorsi disponibili che si trovano nella regione corrente e che sono di proprietà dell'account corrente non soddisfano i requisiti di controllo.
Il controllo determina uno stato di controllo pari `NO_DATA` a nei seguenti casi:
Un percorso multiregionale ha sede in una regione diversa. Security Hub CSPM può generare risultati solo nella regione in cui si trova il percorso.
Un percorso multiregionale appartiene a un account diverso. Security Hub CSPM può generare risultati solo per l'account proprietario del percorso.
Consigliamo gli itinerari organizzativi per registrare gli eventi di molti account di un'organizzazione. Gli itinerari organizzativi sono percorsi multiregionali per impostazione predefinita e possono essere gestiti solo dall'account di AWS Organizations gestione o dall'account amministratore CloudTrail delegato. L'utilizzo di un percorso organizzativo comporta uno stato di controllo pari a `NO_DATA` per i controlli valutati negli account dei membri dell'organizzazione. Negli account dei membri, Security Hub CSPM genera risultati solo per le risorse di proprietà dei membri. I risultati relativi agli itinerari organizzativi vengono generati nell'account del proprietario della risorsa. Puoi visualizzare questi risultati nel tuo account amministratore delegato CSPM di Security Hub utilizzando l'aggregazione tra regioni.
Per l'allarme, l'account corrente deve essere proprietario dell'argomento Amazon SNS di riferimento o deve accedere all'argomento Amazon SNS chiamando. `ListSubscriptionsByTopic` Altrimenti Security Hub CSPM genera `WARNING` risultati per il controllo.
### Correzione
Per passare questo controllo, segui questi passaggi per creare un argomento Amazon SNS, un AWS CloudTrail percorso, un filtro metrico e un allarme per il filtro metrico.
1. Creazione di un argomento Amazon SNS. Per istruzioni, consulta la sezione [Guida introduttiva ad Amazon SNS nella Guida per gli sviluppatori di Amazon Simple](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) *Notification Service*. Crea un argomento che riceva tutti gli allarmi CIS e crea almeno un abbonamento all'argomento.
1. Crea un CloudTrail percorso valido per tutti. Regioni AWS Per istruzioni, consulta [Creazione di un percorso](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) nella *Guida AWS CloudTrail per l'utente*.
Prendi nota del nome del gruppo di log CloudWatch Logs che associ al CloudTrail percorso. Il filtro metrico per quel gruppo di log viene creato nel passaggio successivo.
1. Creazione di un filtro parametri. Per istruzioni, consulta [Creare un filtro metrico per un gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) nella *Amazon CloudWatch User Guide*. Utilizzare i seguenti valori:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/cloudwatch-controls.html)
1. Crea un allarme basato sul filtro. Per istruzioni, consulta [Creare un CloudWatch allarme basato su un filtro metrico del gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) nella *Amazon CloudWatch * User Guide. Utilizzare i seguenti valori:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/cloudwatch-controls.html)
## [CloudWatch.3] Assicurati che esistano un filtro metrico di registro e un allarme per l'accesso alla console di gestione senza MFA
**Requisiti correlati:** CIS Foundations Benchmark v1.2.0/3.2 AWS
**Categoria:** Rilevamento > Servizi di rilevamento
**Gravità: ** bassa
**Tipo di risorsa:,,,** `AWS::Logs::MetricFilter` `AWS::CloudWatch::Alarm` `AWS::CloudTrail::Trail` `AWS::SNS::Topic`
**AWS Config regola:** Nessuna (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: periodica**
**Parametri:** nessuno
Puoi monitorare in tempo reale le chiamate API indirizzando i log verso CloudTrail Logs e stabilendo i filtri CloudWatch metrici e gli allarmi corrispondenti.
Il CIS consiglia di creare un filtro metrico e accessi alla console di allarme non protetti da MFA. Il monitoraggio per accessi alla console a singolo fattore incrementa la visibilità negli account che non sono protetti da MFA.
Per eseguire questo controllo, Security Hub CSPM utilizza una logica personalizzata per eseguire gli esatti passaggi di controllo prescritti per il controllo 3.2 nel [CIS AWS Foundations Benchmark v1.2](https://d1.awsstatic.com/whitepapers/compliance/AWS_CIS_Foundations_Benchmark.pdf). Questo controllo non riesce se non vengono utilizzati i filtri di parametri esatti prescritti da CIS. Non è possibile aggiungere campi o termini ulteriori ai filtri di parametri.
**Nota**
Quando Security Hub CSPM esegue il controllo per questo controllo, cerca le CloudTrail tracce utilizzate dall'account corrente. Questi percorsi potrebbero essere percorsi organizzativi che appartengono a un altro account. I percorsi multiregionali potrebbero anche avere sede in una regione diversa.
Il controllo dà `FAILED` risultati nei seguenti casi:
Nessun percorso è configurato.
I percorsi disponibili che si trovano nella regione corrente e che sono di proprietà dell'account corrente non soddisfano i requisiti di controllo.
Il controllo determina uno stato di controllo pari `NO_DATA` a nei seguenti casi:
Un percorso multiregionale ha sede in una regione diversa. Security Hub CSPM può generare risultati solo nella regione in cui si trova il percorso.
Un percorso multiregionale appartiene a un account diverso. Security Hub CSPM può generare risultati solo per l'account proprietario del percorso.
Consigliamo gli itinerari organizzativi per registrare gli eventi di molti account di un'organizzazione. Gli itinerari organizzativi sono percorsi multiregionali per impostazione predefinita e possono essere gestiti solo dall'account di AWS Organizations gestione o dall'account amministratore CloudTrail delegato. L'utilizzo di un percorso organizzativo comporta uno stato di controllo pari a `NO_DATA` per i controlli valutati negli account dei membri dell'organizzazione. Negli account dei membri, Security Hub CSPM genera risultati solo per le risorse di proprietà dei membri. I risultati relativi agli itinerari organizzativi vengono generati nell'account del proprietario della risorsa. Puoi visualizzare questi risultati nel tuo account amministratore delegato CSPM di Security Hub utilizzando l'aggregazione tra regioni.
Per l'allarme, l'account corrente deve essere proprietario dell'argomento Amazon SNS di riferimento o deve accedere all'argomento Amazon SNS chiamando. `ListSubscriptionsByTopic` Altrimenti Security Hub CSPM genera `WARNING` risultati per il controllo.
### Correzione
Per passare questo controllo, segui questi passaggi per creare un argomento Amazon SNS, un AWS CloudTrail percorso, un filtro metrico e un allarme per il filtro metrico.
1. Creazione di un argomento Amazon SNS. Per istruzioni, consulta la sezione [Guida introduttiva ad Amazon SNS nella Guida per gli sviluppatori di Amazon Simple](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) *Notification Service*. Crea un argomento che riceva tutti gli allarmi CIS e crea almeno un abbonamento all'argomento.
1. Crea un CloudTrail percorso che si applichi a tutti. Regioni AWS Per istruzioni, consulta [Creazione di un percorso](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) nella *Guida AWS CloudTrail per l'utente*.
Prendi nota del nome del gruppo di log CloudWatch Logs che associ al CloudTrail percorso. Il filtro metrico per quel gruppo di log viene creato nel passaggio successivo.
1. Creazione di un filtro parametri. Per istruzioni, consulta [Creare un filtro metrico per un gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) nella *Amazon CloudWatch User Guide*. Utilizzare i seguenti valori:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/cloudwatch-controls.html)
1. Crea un allarme basato sul filtro. Per istruzioni, consulta [Creare un CloudWatch allarme basato su un filtro metrico del gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) nella *Amazon CloudWatch * User Guide. Utilizzare i seguenti valori:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/cloudwatch-controls.html)
## [CloudWatch.4] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche alle policy IAM
**Requisiti correlati:** CIS Foundations Benchmark v1.2.0/3.4, CIS AWS Foundations Benchmark v1.4.0/4.4, NIST.800-171.r2 3.14.6, NIST.800-171.r2 AWS 3.14.7
**Categoria:** Rilevamento > Servizi di rilevamento
**Gravità: ** bassa
**`AWS::Logs::MetricFilter``AWS::CloudWatch::Alarm`Tipo** `AWS::CloudTrail::Trail` di risorsa:,, `AWS::SNS::Topic`
**AWS Config regola:** Nessuna (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: periodica**
**Parametri:** nessuno
Questo controllo verifica se monitorate le chiamate API in tempo reale indirizzando i log verso CloudTrail Logs e stabilendo i filtri CloudWatch metrici e gli allarmi corrispondenti.
Il CIS consiglia di creare un filtro metrico e un allarme per le modifiche apportate alle politiche IAM. Il monitoraggio di queste modifiche garantisce che i controlli di autenticazione e autorizzazione rimangano invariati.
**Nota**
Quando Security Hub CSPM esegue il controllo per questo controllo, cerca le CloudTrail tracce utilizzate dall'account corrente. Questi percorsi potrebbero essere percorsi organizzativi che appartengono a un altro account. I percorsi multiregionali potrebbero anche avere sede in una regione diversa.
Il controllo dà `FAILED` risultati nei seguenti casi:
Nessun percorso è configurato.
I percorsi disponibili che si trovano nella regione corrente e che sono di proprietà dell'account corrente non soddisfano i requisiti di controllo.
Il controllo determina uno stato di controllo pari `NO_DATA` a nei seguenti casi:
Un percorso multiregionale ha sede in una regione diversa. Security Hub CSPM può generare risultati solo nella regione in cui si trova il percorso.
Un percorso multiregionale appartiene a un account diverso. Security Hub CSPM può generare risultati solo per l'account proprietario del percorso.
Consigliamo gli itinerari organizzativi per registrare gli eventi di molti account di un'organizzazione. Gli itinerari organizzativi sono percorsi multiregionali per impostazione predefinita e possono essere gestiti solo dall'account di AWS Organizations gestione o dall'account amministratore CloudTrail delegato. L'utilizzo di un percorso organizzativo comporta uno stato di controllo pari a `NO_DATA` per i controlli valutati negli account dei membri dell'organizzazione. Negli account dei membri, Security Hub CSPM genera risultati solo per le risorse di proprietà dei membri. I risultati relativi agli itinerari organizzativi vengono generati nell'account del proprietario della risorsa. Puoi visualizzare questi risultati nel tuo account amministratore delegato CSPM di Security Hub utilizzando l'aggregazione tra regioni.
Per l'allarme, l'account corrente deve essere proprietario dell'argomento Amazon SNS di riferimento o deve accedere all'argomento Amazon SNS chiamando. `ListSubscriptionsByTopic` Altrimenti Security Hub CSPM genera `WARNING` risultati per il controllo.
### Correzione
**Nota**
Lo schema di filtro consigliato in queste fasi di riparazione è diverso dal modello di filtro indicato nelle linee guida CIS. I nostri filtri consigliati hanno come target solo gli eventi provenienti dalle chiamate API IAM.
Per passare questo controllo, segui questi passaggi per creare un argomento Amazon SNS, un AWS CloudTrail percorso, un filtro metrico e un allarme per il filtro metrico.
1. Creazione di un argomento Amazon SNS. Per istruzioni, consulta la sezione [Guida introduttiva ad Amazon SNS nella Guida per gli sviluppatori di Amazon Simple](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) *Notification Service*. Crea un argomento che riceva tutti gli allarmi CIS e crea almeno un abbonamento all'argomento.
1. Crea un CloudTrail percorso che si applichi a tutti. Regioni AWS Per istruzioni, consulta [Creazione di un percorso](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) nella *Guida AWS CloudTrail per l'utente*.
Prendi nota del nome del gruppo di log CloudWatch Logs che associ al CloudTrail percorso. Il filtro metrico per quel gruppo di log viene creato nel passaggio successivo.
1. Creazione di un filtro parametri. Per istruzioni, consulta [Creare un filtro metrico per un gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) nella *Amazon CloudWatch User Guide*. Utilizzare i seguenti valori:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/cloudwatch-controls.html)
1. Crea un allarme basato sul filtro. Per istruzioni, consulta [Creare un CloudWatch allarme basato su un filtro metrico del gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) nella *Amazon CloudWatch * User Guide. Utilizzare i seguenti valori:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/cloudwatch-controls.html)
## [CloudWatch.5] Assicurati che esistano un filtro metrico di log e un allarme per le CloudTrail modifiche alla configurazione
**Requisiti correlati:** CIS Foundations Benchmark v1.2.0/3.5, CIS AWS Foundations Benchmark v1.4.0/4.5, NIST.800-171.r2 3.3.8, NIST.800-171.r2 3.14.6, AWS NIST.800-171.r2 3.14.7
**Categoria:** Rilevamento > Servizi di rilevamento
**Gravità: ** bassa
**`AWS::Logs::MetricFilter``AWS::CloudWatch::Alarm`Tipo** `AWS::CloudTrail::Trail` di risorsa:,,, `AWS::SNS::Topic`
**AWS Config regola:** Nessuna (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: periodica**
**Parametri:** nessuno
Puoi monitorare in tempo reale le chiamate API indirizzando i log verso CloudTrail Logs e stabilendo i filtri CloudWatch metrici e gli allarmi corrispondenti.
Il CIS consiglia di creare un filtro metrico e un allarme per le modifiche alle impostazioni di configurazione. CloudTrail Il monitoraggio di queste modifiche garantisce visibilità sostenuta per attività dell'account.
Per eseguire questo controllo, Security Hub CSPM utilizza una logica personalizzata per eseguire gli esatti passaggi di controllo prescritti per il controllo 4.5 nel [CIS AWS Foundations Benchmark v1.4.0](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1). Questo controllo non riesce se non vengono utilizzati i filtri di parametri esatti prescritti da CIS. Non è possibile aggiungere campi o termini ulteriori ai filtri di parametri.
**Nota**
Quando Security Hub CSPM esegue il controllo per questo controllo, cerca le CloudTrail tracce utilizzate dall'account corrente. Questi percorsi potrebbero essere percorsi organizzativi che appartengono a un altro account. I percorsi multiregionali potrebbero anche avere sede in una regione diversa.
Il controllo dà `FAILED` risultati nei seguenti casi:
Nessun percorso è configurato.
I percorsi disponibili che si trovano nella regione corrente e che sono di proprietà dell'account corrente non soddisfano i requisiti di controllo.
Il controllo determina uno stato di controllo pari `NO_DATA` a nei seguenti casi:
Un percorso multiregionale ha sede in una regione diversa. Security Hub CSPM può generare risultati solo nella regione in cui si trova il percorso.
Un percorso multiregionale appartiene a un account diverso. Security Hub CSPM può generare risultati solo per l'account proprietario del percorso.
Consigliamo gli itinerari organizzativi per registrare gli eventi di molti account di un'organizzazione. Gli itinerari organizzativi sono percorsi multiregionali per impostazione predefinita e possono essere gestiti solo dall'account di AWS Organizations gestione o dall'account amministratore CloudTrail delegato. L'utilizzo di un percorso organizzativo comporta uno stato di controllo pari a `NO_DATA` per i controlli valutati negli account dei membri dell'organizzazione. Negli account dei membri, Security Hub CSPM genera risultati solo per le risorse di proprietà dei membri. I risultati relativi agli itinerari organizzativi vengono generati nell'account del proprietario della risorsa. Puoi visualizzare questi risultati nel tuo account amministratore delegato CSPM di Security Hub utilizzando l'aggregazione tra regioni.
Per l'allarme, l'account corrente deve essere proprietario dell'argomento Amazon SNS di riferimento o deve accedere all'argomento Amazon SNS chiamando. `ListSubscriptionsByTopic` Altrimenti Security Hub CSPM genera `WARNING` risultati per il controllo.
### Correzione
Per passare questo controllo, segui questi passaggi per creare un argomento Amazon SNS, un AWS CloudTrail percorso, un filtro metrico e un allarme per il filtro metrico.
1. Creazione di un argomento Amazon SNS. Per istruzioni, consulta la sezione [Guida introduttiva ad Amazon SNS nella Guida per gli sviluppatori di Amazon Simple](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) *Notification Service*. Crea un argomento che riceva tutti gli allarmi CIS e crea almeno un abbonamento all'argomento.
1. Crea un CloudTrail percorso che si applichi a tutti. Regioni AWS Per istruzioni, consulta [Creazione di un percorso](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) nella *Guida AWS CloudTrail per l'utente*.
Prendi nota del nome del gruppo di log CloudWatch Logs che associ al CloudTrail percorso. Il filtro metrico per quel gruppo di log viene creato nel passaggio successivo.
1. Creazione di un filtro parametri. Per istruzioni, consulta [Creare un filtro metrico per un gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) nella *Amazon CloudWatch User Guide*. Utilizzare i seguenti valori:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/cloudwatch-controls.html)
1. Crea un allarme basato sul filtro. Per istruzioni, consulta [Creare un CloudWatch allarme basato su un filtro metrico del gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) nella *Amazon CloudWatch * User Guide. Utilizzare i seguenti valori:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/cloudwatch-controls.html)
## [CloudWatch.6] Assicurati che esistano un filtro metrico di registro e un allarme per gli Console di gestione AWS errori di autenticazione
**Requisiti correlati:** CIS Foundations Benchmark v1.2.0/3.6, CIS AWS Foundations Benchmark v1.4.0/4.6, NIST.800-171.r2 3.14.6, NIST.800-171.r2 3.14.7 AWS
**Categoria:** Rilevamento > Servizi di rilevamento
**Gravità: ** bassa
**`AWS::Logs::MetricFilter``AWS::CloudWatch::Alarm`Tipo** `AWS::CloudTrail::Trail` di risorsa:,, `AWS::SNS::Topic`
**AWS Config regola:** Nessuna (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: periodica**
**Parametri:** nessuno
Puoi monitorare in tempo reale le chiamate API indirizzando i log verso CloudTrail Logs e stabilendo i filtri CloudWatch metrici e gli allarmi corrispondenti.
Il CIS consiglia di creare un filtro metrico e un allarme per i tentativi di autenticazione della console non riusciti. Il monitoraggio degli accessi alla console non riusciti potrebbe ridurre il lead time per rilevare un tentativo di attacco di forza bruta a una credenziale, che potrebbe fornire un indicatore, ad esempio IP di origine, utilizzabile in altre correlazioni eventi.
Per eseguire questo controllo, Security Hub CSPM utilizza una logica personalizzata per eseguire gli esatti passaggi di controllo prescritti per il controllo 4.6 nel [CIS AWS](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Foundations Benchmark v1.4.0. Questo controllo non riesce se non vengono utilizzati i filtri di parametri esatti prescritti da CIS. Non è possibile aggiungere campi o termini ulteriori ai filtri di parametri.
**Nota**
Quando Security Hub CSPM esegue il controllo per questo controllo, cerca le CloudTrail tracce utilizzate dall'account corrente. Questi percorsi potrebbero essere percorsi organizzativi che appartengono a un altro account. I percorsi multiregionali potrebbero anche avere sede in una regione diversa.
Il controllo dà `FAILED` risultati nei seguenti casi:
Nessun percorso è configurato.
I percorsi disponibili che si trovano nella regione corrente e che sono di proprietà dell'account corrente non soddisfano i requisiti di controllo.
Il controllo determina uno stato di controllo pari `NO_DATA` a nei seguenti casi:
Un percorso multiregionale ha sede in una regione diversa. Security Hub CSPM può generare risultati solo nella regione in cui si trova il percorso.
Un percorso multiregionale appartiene a un account diverso. Security Hub CSPM può generare risultati solo per l'account proprietario del percorso.
Consigliamo gli itinerari organizzativi per registrare gli eventi di molti account di un'organizzazione. Gli itinerari organizzativi sono percorsi multiregionali per impostazione predefinita e possono essere gestiti solo dall'account di AWS Organizations gestione o dall'account amministratore CloudTrail delegato. L'utilizzo di un percorso organizzativo comporta uno stato di controllo pari a `NO_DATA` per i controlli valutati negli account dei membri dell'organizzazione. Negli account dei membri, Security Hub CSPM genera risultati solo per le risorse di proprietà dei membri. I risultati relativi agli itinerari organizzativi vengono generati nell'account del proprietario della risorsa. Puoi visualizzare questi risultati nel tuo account amministratore delegato CSPM di Security Hub utilizzando l'aggregazione tra regioni.
Per l'allarme, l'account corrente deve essere proprietario dell'argomento Amazon SNS di riferimento o deve accedere all'argomento Amazon SNS chiamando. `ListSubscriptionsByTopic` Altrimenti Security Hub CSPM genera `WARNING` risultati per il controllo.
### Correzione
Per passare questo controllo, segui questi passaggi per creare un argomento Amazon SNS, un AWS CloudTrail percorso, un filtro metrico e un allarme per il filtro metrico.
1. Creazione di un argomento Amazon SNS. Per istruzioni, consulta la sezione [Guida introduttiva ad Amazon SNS nella Guida per gli sviluppatori di Amazon Simple](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) *Notification Service*. Crea un argomento che riceva tutti gli allarmi CIS e crea almeno un abbonamento all'argomento.
1. Crea un CloudTrail percorso che si applichi a tutti. Regioni AWS Per istruzioni, consulta [Creazione di un percorso](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) nella *Guida AWS CloudTrail per l'utente*.
Prendi nota del nome del gruppo di log CloudWatch Logs che associ al CloudTrail percorso. Il filtro metrico per quel gruppo di log viene creato nel passaggio successivo.
1. Creazione di un filtro parametri. Per istruzioni, consulta [Creare un filtro metrico per un gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) nella *Amazon CloudWatch User Guide*. Utilizzare i seguenti valori:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/cloudwatch-controls.html)
1. Crea un allarme basato sul filtro. Per istruzioni, consulta [Creare un CloudWatch allarme basato su un filtro metrico del gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) nella *Amazon CloudWatch * User Guide. Utilizzare i seguenti valori:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/cloudwatch-controls.html)
## [CloudWatch.7] Assicurati che esistano un filtro metrico di registro e un allarme per la disabilitazione o l'eliminazione pianificata delle chiavi gestite dal cliente
**Requisiti correlati:** CIS AWS Foundations Benchmark v1.2.0/3.7, CIS AWS Foundations Benchmark v1.4.0/4.7, NIST.800-171.r2 3.13.10, NIST.800-171.r2 3.13.16, NIST.800-171.r2 3.14.6, NIST.800-171.r2 3.14.7
**Categoria:** Rilevamento > Servizi di rilevamento
**Gravità: ** bassa
**`AWS::Logs::MetricFilter`Tipo `AWS::CloudWatch::Alarm` `AWS::CloudTrail::Trail` di risorsa:,,** `AWS::SNS::Topic`
**AWS Config regola:** Nessuna (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: periodica**
**Parametri:** nessuno
Puoi monitorare in tempo reale le chiamate API indirizzando i log verso CloudTrail Logs e stabilendo i filtri CloudWatch metrici e gli allarmi corrispondenti.
Il CIS consiglia di creare un filtro metrico e un allarme per le chiavi gestite dai clienti che hanno cambiato stato in eliminazione disattivata o pianificata. I dati crittografati con chiavi disabilitate o eliminate non sono più accessibili.
Per eseguire questo controllo, Security Hub CSPM utilizza una logica personalizzata per eseguire gli esatti passaggi di controllo prescritti per il controllo 4.7 nel [CIS AWS](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Foundations Benchmark v1.4.0. Questo controllo non riesce se non vengono utilizzati i filtri di parametri esatti prescritti da CIS. Non è possibile aggiungere campi o termini ulteriori ai filtri di parametri. Il controllo fallisce anche se contiene. `ExcludeManagementEventSources` `kms.amazonaws.com`
**Nota**
Quando Security Hub CSPM esegue il controllo per questo controllo, cerca le CloudTrail tracce utilizzate dall'account corrente. Questi percorsi potrebbero essere percorsi organizzativi che appartengono a un altro account. I percorsi multiregionali potrebbero anche avere sede in una regione diversa.
Il controllo dà `FAILED` risultati nei seguenti casi:
Nessun percorso è configurato.
I percorsi disponibili che si trovano nella regione corrente e che sono di proprietà dell'account corrente non soddisfano i requisiti di controllo.
Il controllo determina uno stato di controllo pari `NO_DATA` a nei seguenti casi:
Un percorso multiregionale ha sede in una regione diversa. Security Hub CSPM può generare risultati solo nella regione in cui si trova il percorso.
Un percorso multiregionale appartiene a un account diverso. Security Hub CSPM può generare risultati solo per l'account proprietario del percorso.
Consigliamo gli itinerari organizzativi per registrare gli eventi di molti account di un'organizzazione. Gli itinerari organizzativi sono percorsi multiregionali per impostazione predefinita e possono essere gestiti solo dall'account di AWS Organizations gestione o dall'account amministratore CloudTrail delegato. L'utilizzo di un percorso organizzativo comporta uno stato di controllo pari a `NO_DATA` per i controlli valutati negli account dei membri dell'organizzazione. Negli account dei membri, Security Hub CSPM genera risultati solo per le risorse di proprietà dei membri. I risultati relativi agli itinerari organizzativi vengono generati nell'account del proprietario della risorsa. Puoi visualizzare questi risultati nel tuo account amministratore delegato CSPM di Security Hub utilizzando l'aggregazione tra regioni.
Per l'allarme, l'account corrente deve essere proprietario dell'argomento Amazon SNS di riferimento o deve accedere all'argomento Amazon SNS chiamando. `ListSubscriptionsByTopic` Altrimenti Security Hub CSPM genera `WARNING` risultati per il controllo.
### Correzione
Per passare questo controllo, segui questi passaggi per creare un argomento Amazon SNS, un AWS CloudTrail percorso, un filtro metrico e un allarme per il filtro metrico.
1. Creazione di un argomento Amazon SNS. Per istruzioni, consulta la sezione [Guida introduttiva ad Amazon SNS nella Guida per gli sviluppatori di Amazon Simple](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) *Notification Service*. Crea un argomento che riceva tutti gli allarmi CIS e crea almeno un abbonamento all'argomento.
1. Crea un CloudTrail percorso che si applichi a tutti. Regioni AWS Per istruzioni, consulta [Creazione di un percorso](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) nella *Guida AWS CloudTrail per l'utente*.
Prendi nota del nome del gruppo di log CloudWatch Logs che associ al CloudTrail percorso. Il filtro metrico per quel gruppo di log viene creato nel passaggio successivo.
1. Creazione di un filtro parametri. Per istruzioni, consulta [Creare un filtro metrico per un gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) nella *Amazon CloudWatch User Guide*. Utilizzare i seguenti valori:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/cloudwatch-controls.html)
1. Crea un allarme basato sul filtro. Per istruzioni, consulta [Creare un CloudWatch allarme basato su un filtro metrico del gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) nella *Amazon CloudWatch * User Guide. Utilizzare i seguenti valori:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/cloudwatch-controls.html)
## [CloudWatch.8] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche alle policy dei bucket S3
**Requisiti correlati:** CIS Foundations Benchmark v1.2.0/3.8, CIS AWS Foundations Benchmark v1.4.0/4.8, NIST.800-171.r2 3.14.6, NIST.800-171.r2 3.14.7 AWS
**Categoria:** Rilevamento > Servizi di rilevamento
**Gravità: ** bassa
**`AWS::Logs::MetricFilter``AWS::CloudWatch::Alarm`Tipo** `AWS::CloudTrail::Trail` di risorsa:,, `AWS::SNS::Topic`
**AWS Config regola:** Nessuna (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: periodica**
**Parametri:** nessuno
Puoi monitorare in tempo reale le chiamate API indirizzando i log verso CloudTrail Logs e stabilendo i filtri CloudWatch metrici e gli allarmi corrispondenti.
Il CIS consiglia di creare un filtro metrico e un allarme per le modifiche alle politiche dei bucket S3. Il monitoraggio di queste modifiche potrebbe ridurre il tempo necessario per rilevare e correggere policy permissive su bucket S3 sensibili.
Per eseguire questo controllo, Security Hub CSPM utilizza una logica personalizzata per eseguire i passaggi di controllo esatti prescritti per il controllo 4.8 nel [CIS AWS](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Foundations Benchmark v1.4.0. Questo controllo non riesce se non vengono utilizzati i filtri di parametri esatti prescritti da CIS. Non è possibile aggiungere campi o termini ulteriori ai filtri di parametri.
**Nota**
Quando Security Hub CSPM esegue il controllo per questo controllo, cerca le CloudTrail tracce utilizzate dall'account corrente. Questi percorsi potrebbero essere percorsi organizzativi che appartengono a un altro account. I percorsi multiregionali potrebbero anche avere sede in una regione diversa.
Il controllo dà `FAILED` risultati nei seguenti casi:
Nessun percorso è configurato.
I percorsi disponibili che si trovano nella regione corrente e che sono di proprietà dell'account corrente non soddisfano i requisiti di controllo.
Il controllo determina uno stato di controllo pari `NO_DATA` a nei seguenti casi:
Un percorso multiregionale ha sede in una regione diversa. Security Hub CSPM può generare risultati solo nella regione in cui si trova il percorso.
Un percorso multiregionale appartiene a un account diverso. Security Hub CSPM può generare risultati solo per l'account proprietario del percorso.
Consigliamo gli itinerari organizzativi per registrare gli eventi di molti account di un'organizzazione. Gli itinerari organizzativi sono percorsi multiregionali per impostazione predefinita e possono essere gestiti solo dall'account di AWS Organizations gestione o dall'account amministratore CloudTrail delegato. L'utilizzo di un percorso organizzativo comporta uno stato di controllo pari a `NO_DATA` per i controlli valutati negli account dei membri dell'organizzazione. Negli account dei membri, Security Hub CSPM genera risultati solo per le risorse di proprietà dei membri. I risultati relativi agli itinerari organizzativi vengono generati nell'account del proprietario della risorsa. Puoi visualizzare questi risultati nel tuo account amministratore delegato CSPM di Security Hub utilizzando l'aggregazione tra regioni.
Per l'allarme, l'account corrente deve essere proprietario dell'argomento Amazon SNS di riferimento o deve accedere all'argomento Amazon SNS chiamando. `ListSubscriptionsByTopic` Altrimenti Security Hub CSPM genera `WARNING` risultati per il controllo.
### Correzione
Per passare questo controllo, segui questi passaggi per creare un argomento Amazon SNS, un AWS CloudTrail percorso, un filtro metrico e un allarme per il filtro metrico.
1. Creazione di un argomento Amazon SNS. Per istruzioni, consulta la sezione [Guida introduttiva ad Amazon SNS nella Guida per gli sviluppatori di Amazon Simple](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) *Notification Service*. Crea un argomento che riceva tutti gli allarmi CIS e crea almeno un abbonamento all'argomento.
1. Crea un CloudTrail percorso che si applichi a tutti. Regioni AWS Per istruzioni, consulta [Creazione di un percorso](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) nella *Guida AWS CloudTrail per l'utente*.
Prendi nota del nome del gruppo di log CloudWatch Logs che associ al CloudTrail percorso. Il filtro metrico per quel gruppo di log viene creato nel passaggio successivo.
1. Creazione di un filtro parametri. Per istruzioni, consulta [Creare un filtro metrico per un gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) nella *Amazon CloudWatch User Guide*. Utilizzare i seguenti valori:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/cloudwatch-controls.html)
1. Crea un allarme basato sul filtro. Per istruzioni, consulta [Creare un CloudWatch allarme basato su un filtro metrico del gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) nella *Amazon CloudWatch * User Guide. Utilizzare i seguenti valori:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/cloudwatch-controls.html)
## [CloudWatch.9] Assicurati che esistano un filtro metrico di log e un allarme per le AWS Config modifiche alla configurazione
**Requisiti correlati:** CIS Foundations Benchmark v1.2.0/3.9, CIS AWS Foundations Benchmark v1.4.0/4.9, NIST.800-171.r2 3.3.8, NIST.800-171.r2 3.14.6, AWS NIST.800-171.r2 3.14.7
**Categoria:** Rilevamento > Servizi di rilevamento
**Gravità: ** bassa
`AWS::Logs::MetricFilter``AWS::CloudWatch::Alarm`Tipo `AWS::CloudTrail::Trail` di risorsa**:**,, `AWS::SNS::Topic`
**AWS Config regola:** Nessuna (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: periodica**
**Parametri:** nessuno
Puoi monitorare in tempo reale le chiamate API indirizzando i log verso CloudTrail Logs e stabilendo i filtri CloudWatch metrici e gli allarmi corrispondenti.
Il CIS consiglia di creare un filtro metrico e un allarme per le modifiche alle impostazioni di configurazione. AWS Config Il monitoraggio di queste modifiche garantisce visibilità sostenuta per elementi di configurazione nell'account.
Per eseguire questo controllo, Security Hub CSPM utilizza una logica personalizzata per eseguire gli esatti passaggi di controllo prescritti per il controllo 4.9 nel [CIS AWS](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Foundations Benchmark v1.4.0. Questo controllo non riesce se non vengono utilizzati i filtri di parametri esatti prescritti da CIS. Non è possibile aggiungere campi o termini ulteriori ai filtri di parametri.
**Nota**
Quando Security Hub CSPM esegue il controllo per questo controllo, cerca le CloudTrail tracce utilizzate dall'account corrente. Questi percorsi potrebbero essere percorsi organizzativi che appartengono a un altro account. I percorsi multiregionali potrebbero anche avere sede in una regione diversa.
Il controllo dà `FAILED` risultati nei seguenti casi:
Nessun percorso è configurato.
I percorsi disponibili che si trovano nella regione corrente e che sono di proprietà dell'account corrente non soddisfano i requisiti di controllo.
Il controllo determina uno stato di controllo pari `NO_DATA` a nei seguenti casi:
Un percorso multiregionale ha sede in una regione diversa. Security Hub CSPM può generare risultati solo nella regione in cui si trova il percorso.
Un percorso multiregionale appartiene a un account diverso. Security Hub CSPM può generare risultati solo per l'account proprietario del percorso.
Consigliamo gli itinerari organizzativi per registrare gli eventi di molti account di un'organizzazione. Gli itinerari organizzativi sono percorsi multiregionali per impostazione predefinita e possono essere gestiti solo dall'account di AWS Organizations gestione o dall'account amministratore CloudTrail delegato. L'utilizzo di un percorso organizzativo comporta uno stato di controllo pari a `NO_DATA` per i controlli valutati negli account dei membri dell'organizzazione. Negli account dei membri, Security Hub CSPM genera risultati solo per le risorse di proprietà dei membri. I risultati relativi agli itinerari organizzativi vengono generati nell'account del proprietario della risorsa. Puoi visualizzare questi risultati nel tuo account amministratore delegato CSPM di Security Hub utilizzando l'aggregazione tra regioni.
Per l'allarme, l'account corrente deve essere proprietario dell'argomento Amazon SNS di riferimento o deve accedere all'argomento Amazon SNS chiamando. `ListSubscriptionsByTopic` Altrimenti Security Hub CSPM genera `WARNING` risultati per il controllo.
### Correzione
Per passare questo controllo, segui questi passaggi per creare un argomento Amazon SNS, un AWS CloudTrail percorso, un filtro metrico e un allarme per il filtro metrico.
1. Creazione di un argomento Amazon SNS. Per istruzioni, consulta la sezione [Guida introduttiva ad Amazon SNS nella Guida per gli sviluppatori di Amazon Simple](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) *Notification Service*. Crea un argomento che riceva tutti gli allarmi CIS e crea almeno un abbonamento all'argomento.
1. Crea un CloudTrail percorso che si applichi a tutti. Regioni AWS Per istruzioni, consulta [Creazione di un percorso](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) nella *Guida AWS CloudTrail per l'utente*.
Prendi nota del nome del gruppo di log CloudWatch Logs che associ al CloudTrail percorso. Il filtro metrico per quel gruppo di log viene creato nel passaggio successivo.
1. Creazione di un filtro parametri. Per istruzioni, consulta [Creare un filtro metrico per un gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) nella *Amazon CloudWatch User Guide*. Utilizzare i seguenti valori:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/cloudwatch-controls.html)
1. Crea un allarme basato sul filtro. Per istruzioni, consulta [Creare un CloudWatch allarme basato su un filtro metrico del gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) nella *Amazon CloudWatch * User Guide. Utilizzare i seguenti valori:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/cloudwatch-controls.html)
## [CloudWatch.10] Assicurati che esistano un filtro metrico di registro e un allarme per le modifiche ai gruppi di sicurezza
**Requisiti correlati:** CIS Foundations Benchmark v1.2.0/3.10, CIS AWS Foundations Benchmark v1.4.0/4.10, NIST.800-171.r2 3.14.6, NIST.800-171.r2 AWS 3.14.7
**Categoria:** Rilevamento > Servizi di rilevamento
**Gravità: ** bassa
**`AWS::Logs::MetricFilter``AWS::CloudWatch::Alarm`Tipo** `AWS::CloudTrail::Trail` di risorsa:,, `AWS::SNS::Topic`
**AWS Config regola:** Nessuna (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: periodica**
**Parametri:** nessuno
Puoi monitorare in tempo reale le chiamate API indirizzando i log verso CloudTrail Logs e stabilendo i filtri CloudWatch metrici e gli allarmi corrispondenti. I gruppi di sicurezza sono un filtro dei pacchetti stateful che controlla il traffico in entrata e in uscita in un VPC.
Il CIS consiglia di creare un filtro metrico e un allarme per le modifiche ai gruppi di sicurezza. Il monitoraggio di tali modifiche garantisce che le risorse e i servizi non vengano involontariamente esposti.
Per eseguire questo controllo, Security Hub CSPM utilizza una logica personalizzata per eseguire i passaggi di controllo esatti prescritti per il controllo 4.10 nel [CIS AWS](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Foundations Benchmark v1.4.0. Questo controllo non riesce se non vengono utilizzati i filtri di parametri esatti prescritti da CIS. Non è possibile aggiungere campi o termini ulteriori ai filtri di parametri.
**Nota**
Quando Security Hub CSPM esegue il controllo per questo controllo, cerca le CloudTrail tracce utilizzate dall'account corrente. Questi percorsi potrebbero essere percorsi organizzativi che appartengono a un altro account. I percorsi multiregionali potrebbero anche avere sede in una regione diversa.
Il controllo dà `FAILED` risultati nei seguenti casi:
Nessun percorso è configurato.
I percorsi disponibili che si trovano nella regione corrente e che sono di proprietà dell'account corrente non soddisfano i requisiti di controllo.
Il controllo determina uno stato di controllo pari `NO_DATA` a nei seguenti casi:
Un percorso multiregionale ha sede in una regione diversa. Security Hub CSPM può generare risultati solo nella regione in cui si trova il percorso.
Un percorso multiregionale appartiene a un account diverso. Security Hub CSPM può generare risultati solo per l'account proprietario del percorso.
Consigliamo gli itinerari organizzativi per registrare gli eventi di molti account di un'organizzazione. Gli itinerari organizzativi sono percorsi multiregionali per impostazione predefinita e possono essere gestiti solo dall'account di AWS Organizations gestione o dall'account amministratore CloudTrail delegato. L'utilizzo di un percorso organizzativo comporta uno stato di controllo pari a `NO_DATA` per i controlli valutati negli account dei membri dell'organizzazione. Negli account dei membri, Security Hub CSPM genera risultati solo per le risorse di proprietà dei membri. I risultati relativi agli itinerari organizzativi vengono generati nell'account del proprietario della risorsa. Puoi visualizzare questi risultati nel tuo account amministratore delegato CSPM di Security Hub utilizzando l'aggregazione tra regioni.
Per l'allarme, l'account corrente deve essere proprietario dell'argomento Amazon SNS di riferimento o deve accedere all'argomento Amazon SNS chiamando. `ListSubscriptionsByTopic` Altrimenti Security Hub CSPM genera `WARNING` risultati per il controllo.
### Correzione
Per passare questo controllo, segui questi passaggi per creare un argomento Amazon SNS, un AWS CloudTrail percorso, un filtro metrico e un allarme per il filtro metrico.
1. Creazione di un argomento Amazon SNS. Per istruzioni, consulta la sezione [Guida introduttiva ad Amazon SNS nella Guida per gli sviluppatori di Amazon Simple](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) *Notification Service*. Crea un argomento che riceva tutti gli allarmi CIS e crea almeno un abbonamento all'argomento.
1. Crea un CloudTrail percorso che si applichi a tutti. Regioni AWS Per istruzioni, consulta [Creazione di un percorso](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) nella *Guida AWS CloudTrail per l'utente*.
Prendi nota del nome del gruppo di log CloudWatch Logs che associ al CloudTrail percorso. Il filtro metrico per quel gruppo di log viene creato nel passaggio successivo.
1. Creazione di un filtro parametri. Per istruzioni, consulta [Creare un filtro metrico per un gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) nella *Amazon CloudWatch User Guide*. Utilizzare i seguenti valori:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/cloudwatch-controls.html)
1. Crea un allarme basato sul filtro. Per istruzioni, consulta [Creare un CloudWatch allarme basato su un filtro metrico del gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) nella *Amazon CloudWatch * User Guide. Utilizzare i seguenti valori:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/cloudwatch-controls.html)
## [CloudWatch.11] Assicurati che esistano un filtro metrico di registro e un allarme per le modifiche alle liste di controllo degli accessi alla rete (NACL)
**Requisiti correlati:** CIS Foundations Benchmark v1.2.0/3.11, CIS AWS Foundations Benchmark v1.4.0/4.11, NIST.800-171.r2 3.14.6, NIST.800-171.r2 3.14.7 AWS
**Categoria:** Rilevamento > Servizi di rilevamento
**Gravità: ** bassa
**`AWS::Logs::MetricFilter``AWS::CloudWatch::Alarm`Tipo** `AWS::CloudTrail::Trail` di risorsa:,, `AWS::SNS::Topic`
**AWS Config regola:** Nessuna (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: periodica**
**Parametri:** nessuno
Puoi monitorare in tempo reale le chiamate API indirizzando i log verso CloudTrail Logs e stabilendo i filtri CloudWatch metrici e gli allarmi corrispondenti. NACLs vengono utilizzati come filtro di pacchetti stateless per controllare il traffico in ingresso e in uscita per le sottoreti in un VPC.
Il CIS consiglia di creare un filtro metrico e un allarme per le modifiche a. NACLs Il monitoraggio di queste modifiche aiuta a garantire che AWS risorse e servizi non vengano esposti involontariamente.
Per eseguire questo controllo, Security Hub CSPM utilizza una logica personalizzata per eseguire i passaggi di controllo esatti prescritti per il controllo 4.11 nel [CIS AWS](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Foundations Benchmark v1.4.0. Questo controllo non riesce se non vengono utilizzati i filtri di parametri esatti prescritti da CIS. Non è possibile aggiungere campi o termini ulteriori ai filtri di parametri.
**Nota**
Quando Security Hub CSPM esegue il controllo per questo controllo, cerca le CloudTrail tracce utilizzate dall'account corrente. Questi percorsi potrebbero essere percorsi organizzativi che appartengono a un altro account. I percorsi multiregionali potrebbero anche avere sede in una regione diversa.
Il controllo dà `FAILED` risultati nei seguenti casi:
Nessun percorso è configurato.
I percorsi disponibili che si trovano nella regione corrente e che sono di proprietà dell'account corrente non soddisfano i requisiti di controllo.
Il controllo determina uno stato di controllo pari `NO_DATA` a nei seguenti casi:
Un percorso multiregionale ha sede in una regione diversa. Security Hub CSPM può generare risultati solo nella regione in cui si trova il percorso.
Un percorso multiregionale appartiene a un account diverso. Security Hub CSPM può generare risultati solo per l'account proprietario del percorso.
Consigliamo gli itinerari organizzativi per registrare gli eventi di molti account di un'organizzazione. Gli itinerari organizzativi sono percorsi multiregionali per impostazione predefinita e possono essere gestiti solo dall'account di AWS Organizations gestione o dall'account amministratore CloudTrail delegato. L'utilizzo di un percorso organizzativo comporta uno stato di controllo pari a `NO_DATA` per i controlli valutati negli account dei membri dell'organizzazione. Negli account dei membri, Security Hub CSPM genera risultati solo per le risorse di proprietà dei membri. I risultati relativi agli itinerari organizzativi vengono generati nell'account del proprietario della risorsa. Puoi visualizzare questi risultati nel tuo account amministratore delegato CSPM di Security Hub utilizzando l'aggregazione tra regioni.
Per l'allarme, l'account corrente deve essere proprietario dell'argomento Amazon SNS di riferimento o deve accedere all'argomento Amazon SNS chiamando. `ListSubscriptionsByTopic` Altrimenti Security Hub CSPM genera `WARNING` risultati per il controllo.
### Correzione
Per passare questo controllo, segui questi passaggi per creare un argomento Amazon SNS, un AWS CloudTrail percorso, un filtro metrico e un allarme per il filtro metrico.
1. Creazione di un argomento Amazon SNS. Per istruzioni, consulta la sezione [Guida introduttiva ad Amazon SNS nella Guida per gli sviluppatori di Amazon Simple](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) *Notification Service*. Crea un argomento che riceva tutti gli allarmi CIS e crea almeno un abbonamento all'argomento.
1. Crea un CloudTrail percorso che si applichi a tutti. Regioni AWS Per istruzioni, consulta [Creazione di un percorso](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) nella *Guida AWS CloudTrail per l'utente*.
Prendi nota del nome del gruppo di log CloudWatch Logs che associ al CloudTrail percorso. Il filtro metrico per quel gruppo di log viene creato nel passaggio successivo.
1. Creazione di un filtro parametri. Per istruzioni, consulta [Creare un filtro metrico per un gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) nella *Amazon CloudWatch User Guide*. Utilizzare i seguenti valori:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/cloudwatch-controls.html)
1. Crea un allarme basato sul filtro. Per istruzioni, consulta [Creare un CloudWatch allarme basato su un filtro metrico del gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) nella *Amazon CloudWatch * User Guide. Utilizzare i seguenti valori:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/cloudwatch-controls.html)
## [CloudWatch.12] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche ai gateway di rete
**Requisiti correlati:** CIS Foundations Benchmark v1.2.0/3.12, CIS AWS Foundations Benchmark v1.4.0/4.12, NIST.800-171.r2 3.3.1, NIST.800-171.r2 3.13.1 AWS
**Categoria:** Rilevamento > Servizi di rilevamento
**Gravità: ** bassa
**`AWS::Logs::MetricFilter``AWS::CloudWatch::Alarm`Tipo** `AWS::CloudTrail::Trail` di risorsa:,, `AWS::SNS::Topic`
**AWS Config regola:** Nessuna (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: periodica**
**Parametri:** nessuno
Puoi monitorare in tempo reale le chiamate API indirizzando i log verso CloudTrail Logs e stabilendo i filtri CloudWatch metrici e gli allarmi corrispondenti. I gateway di rete sono necessari per inviare e ricevere traffico a una destinazione all'esterno di un VPC.
Il CIS consiglia di creare un filtro metrico e un allarme per le modifiche ai gateway di rete. Il monitoraggio di tali modifiche garantisce che tutto il traffico in entrata e in uscita attraversa il bordo del VPC tramite un percorso controllato.
Per eseguire questo controllo, Security Hub CSPM utilizza una logica personalizzata per eseguire gli esatti passaggi di controllo prescritti per il controllo 4.12 nel [CIS AWS](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Foundations Benchmark v1.2. Questo controllo non riesce se non vengono utilizzati i filtri di parametri esatti prescritti da CIS. Non è possibile aggiungere campi o termini ulteriori ai filtri di parametri.
**Nota**
Quando Security Hub CSPM esegue il controllo per questo controllo, cerca le CloudTrail tracce utilizzate dall'account corrente. Questi percorsi potrebbero essere percorsi organizzativi che appartengono a un altro account. I percorsi multiregionali potrebbero anche avere sede in una regione diversa.
Il controllo dà `FAILED` risultati nei seguenti casi:
Nessun percorso è configurato.
I percorsi disponibili che si trovano nella regione corrente e che sono di proprietà dell'account corrente non soddisfano i requisiti di controllo.
Il controllo determina uno stato di controllo pari `NO_DATA` a nei seguenti casi:
Un percorso multiregionale ha sede in una regione diversa. Security Hub CSPM può generare risultati solo nella regione in cui si trova il percorso.
Un percorso multiregionale appartiene a un account diverso. Security Hub CSPM può generare risultati solo per l'account proprietario del percorso.
Consigliamo gli itinerari organizzativi per registrare gli eventi di molti account di un'organizzazione. Gli itinerari organizzativi sono percorsi multiregionali per impostazione predefinita e possono essere gestiti solo dall'account di AWS Organizations gestione o dall'account amministratore CloudTrail delegato. L'utilizzo di un percorso organizzativo comporta uno stato di controllo pari a `NO_DATA` per i controlli valutati negli account dei membri dell'organizzazione. Negli account dei membri, Security Hub CSPM genera risultati solo per le risorse di proprietà dei membri. I risultati relativi agli itinerari organizzativi vengono generati nell'account del proprietario della risorsa. Puoi visualizzare questi risultati nel tuo account amministratore delegato CSPM di Security Hub utilizzando l'aggregazione tra regioni.
Per l'allarme, l'account corrente deve essere proprietario dell'argomento Amazon SNS di riferimento o deve accedere all'argomento Amazon SNS chiamando. `ListSubscriptionsByTopic` Altrimenti Security Hub CSPM genera `WARNING` risultati per il controllo.
### Correzione
Per passare questo controllo, segui questi passaggi per creare un argomento Amazon SNS, un AWS CloudTrail percorso, un filtro metrico e un allarme per il filtro metrico.
1. Creazione di un argomento Amazon SNS. Per istruzioni, consulta la sezione [Guida introduttiva ad Amazon SNS nella Guida per gli sviluppatori di Amazon Simple](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) *Notification Service*. Crea un argomento che riceva tutti gli allarmi CIS e crea almeno un abbonamento all'argomento.
1. Crea un CloudTrail percorso che si applichi a tutti. Regioni AWS Per istruzioni, consulta [Creazione di un percorso](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) nella *Guida AWS CloudTrail per l'utente*.
Prendi nota del nome del gruppo di log CloudWatch Logs che associ al CloudTrail percorso. Il filtro metrico per quel gruppo di log viene creato nel passaggio successivo.
1. Creazione di un filtro parametri. Per istruzioni, consulta [Creare un filtro metrico per un gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) nella *Amazon CloudWatch User Guide*. Utilizzare i seguenti valori:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/cloudwatch-controls.html)
1. Crea un allarme basato sul filtro. Per istruzioni, consulta [Creare un CloudWatch allarme basato su un filtro metrico del gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) nella *Amazon CloudWatch * User Guide. Utilizzare i seguenti valori:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/cloudwatch-controls.html)
## [CloudWatch.13] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche alla tabella delle rotte
**Requisiti correlati:** CIS Foundations Benchmark v1.2.0/3.13, CIS AWS Foundations Benchmark v1.4.0/4.13, NIST.800-171.r2 3.3.1, NIST.800-171.r2 3.13.1, AWS NIST.800-171.r2 3.14.6, NIST.800-171.r2 3.14.7
**Categoria:** Rilevamento > Servizi di rilevamento
**Gravità: ** bassa
**`AWS::Logs::MetricFilter`Tipo `AWS::CloudWatch::Alarm` `AWS::CloudTrail::Trail` di risorsa:,,** `AWS::SNS::Topic`
**AWS Config regola:** Nessuna (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: periodica**
**Parametri:** nessuno
Questo controllo verifica se monitorate le chiamate API in tempo reale indirizzando i log verso CloudTrail Logs e stabilendo i filtri CloudWatch metrici e gli allarmi corrispondenti. Le tabelle di routing instradano il traffico di rete tra le sottoreti e i gateway di rete.
Il CIS consiglia di creare un filtro metrico e un allarme per le modifiche alle tabelle di routing. Il monitoraggio di queste modifiche garantisce che tutto il traffico VPC passi attraverso un percorso previsto.
**Nota**
Quando Security Hub CSPM esegue il controllo per questo controllo, cerca le CloudTrail tracce utilizzate dall'account corrente. Questi percorsi potrebbero essere percorsi organizzativi che appartengono a un altro account. I percorsi multiregionali potrebbero anche avere sede in una regione diversa.
Il controllo dà `FAILED` risultati nei seguenti casi:
Nessun percorso è configurato.
I percorsi disponibili che si trovano nella regione corrente e che sono di proprietà dell'account corrente non soddisfano i requisiti di controllo.
Il controllo determina uno stato di controllo pari `NO_DATA` a nei seguenti casi:
Un percorso multiregionale ha sede in una regione diversa. Security Hub CSPM può generare risultati solo nella regione in cui si trova il percorso.
Un percorso multiregionale appartiene a un account diverso. Security Hub CSPM può generare risultati solo per l'account proprietario del percorso.
Consigliamo gli itinerari organizzativi per registrare gli eventi di molti account di un'organizzazione. Gli itinerari organizzativi sono percorsi multiregionali per impostazione predefinita e possono essere gestiti solo dall'account di AWS Organizations gestione o dall'account amministratore CloudTrail delegato. L'utilizzo di un percorso organizzativo comporta uno stato di controllo pari a `NO_DATA` per i controlli valutati negli account dei membri dell'organizzazione. Negli account dei membri, Security Hub CSPM genera risultati solo per le risorse di proprietà dei membri. I risultati relativi agli itinerari organizzativi vengono generati nell'account del proprietario della risorsa. Puoi visualizzare questi risultati nel tuo account amministratore delegato CSPM di Security Hub utilizzando l'aggregazione tra regioni.
Per l'allarme, l'account corrente deve essere proprietario dell'argomento Amazon SNS di riferimento o deve accedere all'argomento Amazon SNS chiamando. `ListSubscriptionsByTopic` Altrimenti Security Hub CSPM genera `WARNING` risultati per il controllo.
### Correzione
**Nota**
Lo schema di filtro consigliato in queste fasi di riparazione è diverso dal modello di filtro indicato nelle linee guida CIS. I nostri filtri consigliati hanno come target solo gli eventi provenienti dalle chiamate API Amazon Elastic Compute Cloud (EC2).
Per passare questo controllo, segui questi passaggi per creare un argomento Amazon SNS, un AWS CloudTrail percorso, un filtro metrico e un allarme per il filtro metrico.
1. Creazione di un argomento Amazon SNS. Per istruzioni, consulta la sezione [Guida introduttiva ad Amazon SNS nella Guida per gli sviluppatori di Amazon Simple](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) *Notification Service*. Crea un argomento che riceva tutti gli allarmi CIS e crea almeno un abbonamento all'argomento.
1. Crea un CloudTrail percorso che si applichi a tutti. Regioni AWS Per istruzioni, consulta [Creazione di un percorso](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) nella *Guida AWS CloudTrail per l'utente*.
Prendi nota del nome del gruppo di log CloudWatch Logs che associ al CloudTrail percorso. Il filtro metrico per quel gruppo di log viene creato nel passaggio successivo.
1. Creazione di un filtro parametri. Per istruzioni, consulta [Creare un filtro metrico per un gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) nella *Amazon CloudWatch User Guide*. Utilizzare i seguenti valori:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/cloudwatch-controls.html)
1. Crea un allarme basato sul filtro. Per istruzioni, consulta [Creare un CloudWatch allarme basato su un filtro metrico del gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) nella *Amazon CloudWatch * User Guide. Utilizzare i seguenti valori:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/cloudwatch-controls.html)
## [CloudWatch.14] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche al VPC
**Requisiti correlati:** CIS Foundations Benchmark v1.2.0/3.14, CIS AWS Foundations Benchmark v1.4.0/4.14, NIST.800-171.r2 3.3.1, NIST.800-171.r2 3.13.1, AWS NIST.800-171.r2 3.14.6, NIST.800-171.r2 3.14.7
**Categoria:** Rilevamento > Servizi di rilevamento
**Gravità: ** bassa
**`AWS::Logs::MetricFilter`Tipo `AWS::CloudWatch::Alarm` `AWS::CloudTrail::Trail` di risorsa:,,** `AWS::SNS::Topic`
**AWS Config regola:** Nessuna (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: periodica**
**Parametri:** nessuno
Puoi monitorare in tempo reale le chiamate API indirizzando i log verso CloudTrail Logs e stabilendo i filtri CloudWatch metrici e gli allarmi corrispondenti. Puoi avere più di un VPC in un account e puoi creare una connessione peer tra due VPCs, abilitando l'instradamento del traffico di rete tra di loro. VPCs
Il CIS consiglia di creare un filtro metrico e un allarme per le modifiche apportate a. VPCs Il monitoraggio di queste modifiche garantisce che i controlli di autenticazione e autorizzazione rimangano invariati.
Per eseguire questo controllo, Security Hub CSPM utilizza una logica personalizzata per eseguire i passaggi di controllo esatti prescritti per il controllo 4.14 nel [CIS AWS](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Foundations Benchmark v1.4.0. Questo controllo non riesce se non vengono utilizzati i filtri di parametri esatti prescritti da CIS. Non è possibile aggiungere campi o termini ulteriori ai filtri di parametri.
**Nota**
Quando Security Hub CSPM esegue il controllo per questo controllo, cerca le CloudTrail tracce utilizzate dall'account corrente. Questi percorsi potrebbero essere percorsi organizzativi che appartengono a un altro account. I percorsi multiregionali potrebbero anche avere sede in una regione diversa.
Il controllo dà `FAILED` risultati nei seguenti casi:
Nessun percorso è configurato.
I percorsi disponibili che si trovano nella regione corrente e che sono di proprietà dell'account corrente non soddisfano i requisiti di controllo.
Il controllo determina uno stato di controllo pari `NO_DATA` a nei seguenti casi:
Un percorso multiregionale ha sede in una regione diversa. Security Hub CSPM può generare risultati solo nella regione in cui si trova il percorso.
Un percorso multiregionale appartiene a un account diverso. Security Hub CSPM può generare risultati solo per l'account proprietario del percorso.
Consigliamo gli itinerari organizzativi per registrare gli eventi di molti account di un'organizzazione. Gli itinerari organizzativi sono percorsi multiregionali per impostazione predefinita e possono essere gestiti solo dall'account di AWS Organizations gestione o dall'account amministratore CloudTrail delegato. L'utilizzo di un percorso organizzativo comporta uno stato di controllo pari a `NO_DATA` per i controlli valutati negli account dei membri dell'organizzazione. Negli account dei membri, Security Hub CSPM genera risultati solo per le risorse di proprietà dei membri. I risultati relativi agli itinerari organizzativi vengono generati nell'account del proprietario della risorsa. Puoi visualizzare questi risultati nel tuo account amministratore delegato CSPM di Security Hub utilizzando l'aggregazione tra regioni.
Per l'allarme, l'account corrente deve essere proprietario dell'argomento Amazon SNS di riferimento o deve accedere all'argomento Amazon SNS chiamando. `ListSubscriptionsByTopic` Altrimenti Security Hub CSPM genera `WARNING` risultati per il controllo.
### Correzione
Per passare questo controllo, segui questi passaggi per creare un argomento Amazon SNS, un AWS CloudTrail percorso, un filtro metrico e un allarme per il filtro metrico.
1. Creazione di un argomento Amazon SNS. Per istruzioni, consulta la sezione [Guida introduttiva ad Amazon SNS nella Guida per gli sviluppatori di Amazon Simple](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) *Notification Service*. Crea un argomento che riceva tutti gli allarmi CIS e crea almeno un abbonamento all'argomento.
1. Crea un CloudTrail percorso che si applichi a tutti. Regioni AWS Per istruzioni, consulta [Creazione di un percorso](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) nella *Guida AWS CloudTrail per l'utente*.
Prendi nota del nome del gruppo di log CloudWatch Logs che associ al CloudTrail percorso. Il filtro metrico per quel gruppo di log viene creato nel passaggio successivo.
1. Creazione di un filtro parametri. Per istruzioni, consulta [Creare un filtro metrico per un gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) nella *Amazon CloudWatch User Guide*. Utilizzare i seguenti valori:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/cloudwatch-controls.html)
1. Crea un allarme basato sul filtro. Per istruzioni, consulta [Creare un CloudWatch allarme basato su un filtro metrico del gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) nella *Amazon CloudWatch * User Guide. Utilizzare i seguenti valori:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/cloudwatch-controls.html)
## [CloudWatch.15] gli CloudWatch allarmi devono avere azioni specificate configurate
**Requisiti correlati:** NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 CA-7, NIST.800-53.r5 IR-4 (1), NIST.800-53.r5 IR-4 (5), NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-20, NIST.800-53.r5 SI-4 (12), NIST.800-53.r5 SI-4 (5), NIST.800-171.r2 3.3.4, nIST .800-171r2 3,14,6
**Categoria:** Rilevamento > Servizi di rilevamento
**Gravità:** alta
**Tipo di risorsa:** `AWS::CloudWatch::Alarm`
**AWS Config regola: [https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-check.html)**``
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| `alarmActionRequired` | Il controllo rileva `PASSED` se il parametro è impostato su `true` e l'allarme ha un'azione quando lo stato dell'allarme cambia a. `ALARM` | Booleano | Non personalizzabile | `true` |
| `insufficientDataActionRequired` | Il controllo rileva `PASSED` se il parametro è impostato su `true` e l'allarme agisce quando lo stato dell'allarme cambia a`INSUFFICIENT_DATA`. | Booleano | `true` o `false` | `false` |
| `okActionRequired` | Il controllo rileva `PASSED` se il parametro è impostato su `true` e l'allarme agisce quando lo stato di allarme cambia a`OK`. | Booleano | `true` o `false` | `false` |
Questo controllo verifica se un CloudWatch allarme Amazon ha almeno un'azione configurata per lo `ALARM` stato. Il controllo fallisce se l'allarme non ha un'azione configurata per lo `ALARM` stato. Facoltativamente, è possibile includere valori di parametri personalizzati per richiedere anche azioni di allarme per gli `OK` stati `INSUFFICIENT_DATA` or.
**Nota**
Security Hub CSPM valuta questo controllo sulla CloudWatch base di allarmi metrici. Gli allarmi metrici possono far parte di allarmi compositi con le azioni specificate configurate. Il controllo genera `FAILED` risultati nei seguenti casi:
Le azioni specificate non sono configurate per un allarme metrico.
L'allarme metrico fa parte di un allarme composito in cui sono configurate le azioni specificate.
Questo controllo si concentra sul fatto che un CloudWatch allarme abbia un'azione di allarme configurata, mentre [CloudWatch.17](#cloudwatch-17) si concentra sullo stato di attivazione di un'azione di CloudWatch allarme.
Consigliamo azioni di CloudWatch allarme per avvisare automaticamente l'utente quando una metrica monitorata supera la soglia definita. Il monitoraggio degli allarmi consente di identificare attività insolite e di rispondere rapidamente ai problemi operativi e di sicurezza quando un allarme entra in uno stato specifico. Il tipo più comune di azione di allarme consiste nell'avvisare uno o più utenti inviando un messaggio a un argomento di Amazon Simple Notification Service (Amazon SNS).
### Correzione
Per informazioni sulle azioni supportate dagli CloudWatch allarmi, consulta [Azioni di allarme](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html#alarms-and-actions) nella *Amazon CloudWatch User Guide*.
## [CloudWatch.16] i gruppi di CloudWatch log devono essere conservati per un periodo di tempo specificato
**Categoria:** Identificazione > Registrazione
**Requisiti correlati:**, NIST.800-53.R5 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-11, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 SI-12
**Gravità:** media
**Tipo di risorsa:** `AWS::Logs::LogGroup`
**AWS Config regola: [https://docs.aws.amazon.com/config/latest/developerguide/cw-loggroup-retention-period-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cw-loggroup-retention-period-check.html)**``
**Tipo di pianificazione:** periodica
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| `minRetentionTime` | Periodo minimo di conservazione in giorni per i gruppi di log CloudWatch | Enum | `365, 400, 545, 731, 1827, 3653` | `365` |
Questo controllo verifica se un gruppo di CloudWatch log Amazon ha un periodo di conservazione di almeno il numero di giorni specificato. Il controllo fallisce se il periodo di conservazione è inferiore al numero specificato. A meno che non si fornisca un valore di parametro personalizzato per il periodo di conservazione, Security Hub CSPM utilizza un valore predefinito di 365 giorni.
CloudWatch I log centralizzano i log di tutti i sistemi e le applicazioni Servizi AWS in un unico servizio altamente scalabile. Puoi usare CloudWatch Logs per monitorare, archiviare e accedere ai tuoi file di log da istanze Amazon Elastic Compute Cloud (EC2) AWS CloudTrail, Amazon Route 53 e altre fonti. Conservare i log per almeno 1 anno può aiutarti a rispettare gli standard di conservazione dei log.
### Correzione
Per configurare le impostazioni di conservazione dei log, consulta [Change log data retention in CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#SettingLogRetention) nella *Amazon CloudWatch User Guide*.
## [CloudWatch.17] le azioni di CloudWatch allarme devono essere attivate
**Categoria:** Rilevamento > Servizi di rilevamento
**Requisiti correlati:** NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-4 (12)
**Gravità:** alta
**Tipo di risorsa:** `AWS::CloudWatch::Alarm`
**AWS Config regola: [https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-enabled-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-enabled-check.html)**``
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se le azioni di CloudWatch allarme sono attivate (`ActionEnabled`deve essere impostato su true). Il controllo fallisce se l'azione di allarme per un CloudWatch allarme è disattivata.
**Nota**
Security Hub CSPM valuta questo controllo sulla CloudWatch base di allarmi metrici. Gli allarmi metrici possono far parte di allarmi compositi che hanno le azioni di allarme attivate. Il controllo genera `FAILED` risultati nei seguenti casi:
Le azioni specificate non sono configurate per un allarme metrico.
L'allarme metrico fa parte di un allarme composito con azioni di allarme attivate.
Questo controllo si concentra sullo stato di attivazione di un'azione di CloudWatch allarme, mentre [CloudWatch.15](#cloudwatch-15) si concentra sulla configurazione di `ALARM` un'azione in un CloudWatch allarme.
Le azioni di allarme avvisano automaticamente l'utente quando una metrica monitorata supera la soglia definita. Se l'azione di allarme è disattivata, non viene eseguita alcuna azione quando l'allarme cambia stato e non sarai avvisato delle modifiche nelle metriche monitorate. Ti consigliamo di attivare le azioni di CloudWatch allarme per aiutarti a rispondere rapidamente ai problemi operativi e di sicurezza.
### Correzione
**Per attivare un'azione CloudWatch di allarme (console)**
1. Apri la CloudWatch console all'indirizzo [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Nel pannello di navigazione, in **Allarmi**, scegli **Tutti gli allarmi**.
1. Seleziona l'allarme per il quale desideri attivare le azioni.
1. **Per **Azioni**, scegli **Azioni di allarme: nuove**, quindi scegli Abilita.**
Per ulteriori informazioni sull'attivazione delle azioni di CloudWatch allarme, consulta le [azioni di allarme](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html#alarms-and-actions) nella *Amazon CloudWatch User Guide*.
# Controlli CSPM Security Hub per CodeArtifact
Questi controlli CSPM di Security Hub valutano il AWS CodeArtifact servizio e le risorse.
Questi controlli potrebbero non essere disponibili in tutti. Regioni AWS Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [CodeArtifact.1] i CodeArtifact repository devono essere etichettati
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::CodeArtifact::Repository`
**AWS Config regola:** `tagged-codeartifact-repository` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un AWS CodeArtifact repository ha tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se il repository non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro. `requiredTagKeys` Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il repository non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
*Per aggiungere tag a un CodeArtifact repository, consulta Etichettare [un repository CodeArtifact nella](https://docs.aws.amazon.com/codeartifact/latest/ug/tag-repositories.html) Guida per l'utente.AWS CodeArtifact *
# Controlli CSPM Security Hub per CodeBuild
Questi controlli CSPM di Security Hub valutano il AWS CodeBuild servizio e le risorse.
Questi controlli potrebbero non essere disponibili in tutti. Regioni AWS Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [CodeBuild.1] L'archivio dei sorgenti di CodeBuild Bitbucket non URLs deve contenere credenziali sensibili
**Requisiti correlati: PCI DSS v3.2.1/8.2.1** NIST.800-53.r5 SA-3, PCI DSS v4.0.1/8.3.2
**Categoria:** Protezione > Sviluppo protetto
**Severità:** critica
**Tipo di risorsa:** `AWS::CodeBuild::Project`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-source-repo-url-check.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-source-repo-url-check.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se l'URL del repository di origine Bitbucket di un AWS CodeBuild progetto contiene token di accesso personali o un nome utente e una password. Il controllo fallisce se l'URL del repository di origine Bitbucket contiene token di accesso personali o un nome utente e una password.
**Nota**
Questo controllo valuta sia la fonte primaria che le fonti secondarie di un progetto di compilazione. CodeBuild *Per ulteriori informazioni sulle fonti del progetto, consulta l'[esempio di fonti di input e artefatti di output multipli](https://docs.aws.amazon.com/codebuild/latest/userguide/sample-multi-in-out.html) nella Guida per l'AWS CodeBuild utente.*
Le credenziali di accesso non devono essere archiviate o trasmesse in testo non crittografato o apparire nell'URL del repository di origine. Invece dei token di accesso personali o delle credenziali di accesso, dovresti accedere al tuo provider di origine e modificare l'URL del repository di origine in CodeBuild modo che contenga solo il percorso della posizione del repository Bitbucket. L'utilizzo di token di accesso personali o credenziali di accesso potrebbe comportare l'esposizione involontaria dei dati o l'accesso non autorizzato.
### Correzione
Puoi aggiornare il tuo progetto per utilizzarlo. CodeBuild OAuth
**Per rimuovere l'autenticazione di base/(GitHub) Personal Access Token dal sorgente CodeBuild del progetto**
1. Apri la CodeBuild console all'indirizzo [https://console.aws.amazon.com/codebuild/](https://console.aws.amazon.com/codebuild/).
1. Scegliere il progetto di compilazione contenente i token di accesso personali o un nome utente e una password.
1. Da **Edit (Modifica)**, scegliere **Source (Sorgente)**.
1. Scegli **Disconnetti da GitHub /Bitbucket**.
1. Scegli **Connetti tramite OAuth**, quindi scegli **Connetti a GitHub /Bitbucket**.
1. Quando richiesto, scegliere **authorize as appropriate (autorizza come appropriato)**.
1. Riconfigurare l'URL repository) e le impostazioni di configurazione aggiuntive, se necessario.
1. Scegliere **Update source (Aggiorna origine)**.
*Per ulteriori informazioni, consulta gli [esempi basati su casi CodeBuild d'uso](https://docs.aws.amazon.com/codebuild/latest/userguide/use-case-based-samples.html) nella Guida per l'utente.AWS CodeBuild *
## [CodeBuild.2] Le variabili di ambiente CodeBuild del progetto non devono contenere credenziali di testo non crittografato
**Requisiti correlati:** NIST.800-53.r5 IA-5 (7), PCI DSS NIST.800-53.r5 SA-3 v3.2.1/8.2.1, PCI DSS v4.0.1/8.3.2
**Categoria:** Protezione > Sviluppo protetto
**Severità:** critica
**Tipo di risorsa:** `AWS::CodeBuild::Project`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-envvar-awscred-check.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-envvar-awscred-check.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se il progetto contiene le variabili di ambiente `AWS_ACCESS_KEY_ID` e `AWS_SECRET_ACCESS_KEY`.
Le credenziali di autenticazione `AWS_ACCESS_KEY_ID` e `AWS_SECRET_ACCESS_KEY` non devono mai essere memorizzate in testo non crittografato, in quanto ciò potrebbe comportare l'esposizione non intenzionale dei dati e l'accesso non autorizzato.
### Correzione
Per rimuovere le variabili di ambiente da un CodeBuild progetto, consulta [Modificare le impostazioni di un progetto di build AWS CodeBuild nella](https://docs.aws.amazon.com/codebuild/latest/userguide/change-project.html) *Guida per l'AWS CodeBuild utente*. Assicurati che non sia selezionato nulla per **le variabili di ambiente**.
Puoi memorizzare le variabili di ambiente con valori sensibili nel AWS Systems Manager Parameter Store o Gestione dei segreti AWS recuperarle dalle specifiche di build. *Per istruzioni, consulta la casella denominata **Importante** nella [sezione Ambiente della Guida](https://docs.aws.amazon.com/codebuild/latest/userguide/change-project-console.html#change-project-console-environment) per l'AWS CodeBuild utente.*
## [CodeBuild.3] I log CodeBuild S3 devono essere crittografati
**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SI-7 ( NIST.800-53.r5 SC-26), PCI DSS v4.0.1/10.3.2
**Categoria**: Proteggi > Protezione dei dati > Crittografia di data-at-rest
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::CodeBuild::Project`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-s3-logs-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-s3-logs-encrypted.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se i log di Amazon S3 per un AWS CodeBuild progetto sono crittografati. Il controllo fallisce se la crittografia è disattivata per i log S3 di un progetto. CodeBuild
La crittografia dei dati inattivi è una best practice consigliata per aggiungere un livello di gestione degli accessi ai dati. La crittografia dei registri inattivi riduce il rischio che un utente non autenticato da acceda AWS ai dati archiviati su disco. Aggiunge un altro set di controlli di accesso per limitare la capacità degli utenti non autorizzati di accedere ai dati.
### Correzione
*Per modificare le impostazioni di crittografia per i log CodeBuild del progetto S3, consulta [Modificare le impostazioni di un progetto di build AWS CodeBuild nella Guida](https://docs.aws.amazon.com/codebuild/latest/userguide/change-project.html) per l'AWS CodeBuild utente.*
## [CodeBuild.4] Gli ambienti di CodeBuild progetto devono avere una durata di registrazione AWS Config
**Requisiti correlati:** NIST.800-53.r5 AC-2 (12), (4), NIST.800-53.r5 AC-2 (26), (9), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-4, NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8)
**Categoria:** Identificazione > Registrazione
**Gravità:** media
**Tipo di risorsa:** `AWS::CodeBuild::Project`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-logging-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un ambiente di CodeBuild progetto ha almeno un'opzione di registro, su S3 o sui CloudWatch log abilitati. Questo controllo fallisce se un ambiente di CodeBuild progetto non ha almeno un'opzione di registro abilitata.
Dal punto di vista della sicurezza, la registrazione è una funzionalità importante per consentire future attività di analisi forense in caso di incidenti di sicurezza. La correlazione delle anomalie nei CodeBuild progetti con il rilevamento delle minacce può aumentare la fiducia nell'accuratezza di tali rilevamenti di minacce.
### Correzione
Per ulteriori informazioni su come configurare le impostazioni CodeBuild del registro di progetto, consulta [Creare un progetto di compilazione (console) nella Guida](https://docs.aws.amazon.com/codebuild/latest/userguide/create-project-console.html#create-project-console-logs) per l'utente. CodeBuild
## [CodeBuild.5] gli ambienti di CodeBuild progetto non dovrebbero avere la modalità privilegiata abilitata
**Importante**
Security Hub CSPM ha ritirato questo controllo nell'aprile 2024. Per ulteriori informazioni, consulta [Registro delle modifiche per i controlli CSPM di Security Hub](controls-change-log.md).
**Requisiti correlati:** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7),, (10) NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 (2) NIST.800-53.r5 AC-6
**Categoria:** Protezione > Gestione sicura degli accessi
**Gravità:** alta
**Tipo di risorsa:** `AWS::CodeBuild::Project`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-environment-privileged-check.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-environment-privileged-check.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se l'ambiente di AWS CodeBuild progetto ha la modalità privilegiata abilitata o disabilitata. Il controllo fallisce se in un ambiente di CodeBuild progetto è abilitata la modalità privilegiata.
Per impostazione predefinita, i contenitori Docker non consentono l'accesso a nessun dispositivo. La modalità privilegiata garantisce l'accesso al contenitore Docker di un progetto a tutti i dispositivi. L'impostazione `privilegedMode` con valore `true` consente al demone Docker di funzionare all'interno di un contenitore Docker. Il daemon Docker ascolta le richieste dell'API Docker e gestisce oggetti Docker come immagini, contenitori, reti e volumi. Questo parametro deve essere impostato su true solo se il progetto di compilazione viene utilizzato per creare immagini Docker. Altrimenti, questa impostazione dovrebbe essere disabilitata per impedire l'accesso involontario a Docker APIs e all'hardware sottostante del contenitore. L'impostazione `false` consente `privilegedMode` di proteggere le risorse critiche da manomissioni ed eliminazioni.
### Correzione
Per configurare le impostazioni dell'ambiente di CodeBuild progetto, consulta [Creare un progetto di compilazione (console) nella Guida](https://docs.aws.amazon.com/codebuild/latest/userguide/create-project-console.html#create-project-console-environment) per l'*CodeBuild utente*. Nella sezione **Ambiente**, non selezionare l'impostazione **Privileged**.
## [CodeBuild.7] Le esportazioni dei gruppi di CodeBuild report devono essere crittografate quando sono inattive
**Categoria:** Protezione > Protezione dei dati > Crittografia di data-at-rest
**Gravità:** media
**Tipo di risorsa:** `AWS::CodeBuild::ReportGroup`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/codebuild-report-group-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-report-group-encrypted-at-rest.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se i risultati dei test di un gruppo di AWS CodeBuild report esportati in un bucket Amazon Simple Storage Service (Amazon S3) sono crittografati quando sono inattivi. Il controllo fallisce se l'esportazione del gruppo di report non è crittografata quando è inattivo.
I dati inattivi si riferiscono ai dati archiviati in uno spazio di archiviazione persistente e non volatile per qualsiasi durata. La crittografia dei dati inutilizzati consente di proteggerne la riservatezza, riducendo il rischio che un utente non autorizzato possa accedervi.
### Correzione
*Per crittografare l'esportazione del gruppo di report in S3, consulta [Aggiornare un gruppo di report](https://docs.aws.amazon.com/codebuild/latest/userguide/report-group-export-settings.html) nella Guida per l'utente.AWS CodeBuild *
# Controlli CSPM di Security Hub per Amazon Profiler CodeGuru
Questi controlli CSPM di Security Hub valutano il servizio e le risorse Amazon CodeGuru Profiler.
Questi controlli potrebbero non essere disponibili tutti. Regioni AWS Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati
**Categoria: Identificazione > Inventario** > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::CodeGuruProfiler::ProfilingGroup`
**Regola AWS Config : ** `codeguruprofiler-profiling-group-tagged`
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un gruppo di CodeGuru profilazione Amazon Profiler dispone di tag con le chiavi specifiche definite nel parametro. `requiredKeyTags` Il controllo fallisce se il gruppo di profilazione non dispone di chiavi di tag o se non ha tutte le chiavi specificate nel parametro. `requiredKeyTags` Se il parametro `requiredKeyTags` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il gruppo di profilazione non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella Guida per l'utente *IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Migliori pratiche e strategie](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) nella Guida per l'*utente di Tagging AWS Resources and Tag Editor*.
### Correzione
Per aggiungere tag a un gruppo di CodeGuru profilazione Profiler, consulta [Tagging profiling groups nella](https://docs.aws.amazon.com/codeguru/latest/profiler-ug/tagging-profiling-groups.html) *Amazon CodeGuru * Profiler User Guide.
# Controlli CSPM di Security Hub per Amazon Reviewer CodeGuru
Questi controlli CSPM di Security Hub valutano il servizio e le CodeGuru risorse Amazon Reviewer.
Questi controlli potrebbero non essere disponibili tutti. Regioni AWS Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate
**Categoria: Identificazione > Inventario** > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::CodeGuruReviewer::RepositoryAssociation`
**Regola AWS Config : ** `codegurureviewer-repository-association-tagged`
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un'associazione di repository Amazon CodeGuru Reviewer ha tag con le chiavi specifiche definite nel parametro. `requiredKeyTags` Il controllo fallisce se l'associazione di repository non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro. `requiredKeyTags` Se il parametro `requiredKeyTags` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'associazione del repository non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella Guida per l'utente *IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Migliori pratiche e strategie](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) nella Guida per l'*utente di Tagging AWS Resources and Tag Editor*.
### Correzione
Per aggiungere tag a un'associazione di repository CodeGuru Reviewer, consulta [Tagging a repository association nella](https://docs.aws.amazon.com/codeguru/latest/reviewer-ug/tag-repository-association.html) *Amazon CodeGuru * Reviewer User Guide.
# Controlli CSPM del Security Hub per Amazon Cognito
Questi AWS Security Hub CSPM controlli valutano il servizio e le risorse Amazon Cognito. I controlli potrebbero non essere disponibili in tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [Cognito.1] I pool di utenti di Cognito dovrebbero avere la protezione dalle minacce attivata con la modalità di imposizione completa delle funzioni per l'autenticazione standard
**Categoria:** Protezione > Gestione degli accessi sicuri
**Gravità:** media
**Tipo di risorsa:** `AWS::Cognito::UserPool`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-advanced-security-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-advanced-security-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| `SecurityMode` | La modalità di applicazione della protezione dalle minacce verificata dal controllo. | Stringa | `AUDIT`, `ENFORCED` | `ENFORCED` |
Questo controllo verifica se un pool di utenti di Amazon Cognito ha la protezione dalle minacce attivata con la modalità di imposizione impostata sulla piena funzionalità per l'autenticazione standard. Il controllo fallisce se nel pool di utenti la protezione dalle minacce è disattivata o se la modalità di imposizione non è impostata sulla funzionalità completa per l'autenticazione standard. A meno che non si forniscano valori di parametro personalizzati, Security Hub CSPM utilizza il valore predefinito di `ENFORCED` for enforcement mode impostato su full function per l'autenticazione standard.
Dopo aver creato un pool di utenti Amazon Cognito, puoi attivare la protezione dalle minacce e personalizzare le azioni intraprese in risposta a diversi rischi. In alternativa, puoi utilizzare la modalità di controllo per raccogliere metriche sui rischi rilevati senza applicare alcuna mitigazione della sicurezza. In modalità di controllo, la protezione dalle minacce pubblica i parametri su Amazon. CloudWatch Puoi visualizzare le metriche dopo che Amazon Cognito ha generato il suo primo evento.
### Correzione
Per informazioni sull'attivazione della protezione dalle minacce per un pool di utenti di Amazon Cognito, [consulta Sicurezza avanzata con protezione dalle minacce](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pool-settings-threat-protection.html) nella *Amazon Cognito* Developer Guide.
## [Cognito.2] I pool di identità Cognito non dovrebbero consentire identità non autenticate
**Categoria:** Protezione > Gestione sicura degli accessi > Autenticazione senza password
**Gravità:** media
**Tipo di risorsa:** `AWS::Cognito::IdentityPool`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cognito-identity-pool-unauth-access-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-identity-pool-unauth-access-check.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un pool di identità di Amazon Cognito è configurato per consentire identità non autenticate. Il controllo fallisce se l'accesso guest è attivato (il `AllowUnauthenticatedIdentities` parametro è impostato su`true`) per il pool di identità.
Se un pool di identità di Amazon Cognito consente identità non autenticate, il pool di identità fornisce AWS credenziali temporanee agli utenti che non si sono autenticati tramite un provider di identità (ospiti). Ciò crea rischi per la sicurezza perché consente l'accesso anonimo alle risorse. AWS Se disattivi l'accesso come ospite, puoi contribuire a garantire che solo gli utenti correttamente autenticati possano accedere alle tue AWS risorse, riducendo il rischio di accessi non autorizzati e potenziali violazioni della sicurezza. Come best practice, un pool di identità dovrebbe richiedere l'autenticazione tramite provider di identità supportati. Se è necessario un accesso non autenticato, è importante limitare attentamente le autorizzazioni per le identità non autenticate e rivederne e monitorarne regolarmente l'utilizzo.
### Correzione
Per informazioni sulla disattivazione dell'accesso guest per un pool di identità di Amazon Cognito, [consulta Attivare o disattivare l'accesso guest](https://docs.aws.amazon.com/cognito/latest/developerguide/identity-pools.html#enable-or-disable-unauthenticated-identities) nella Amazon *Cognito* Developer Guide.
## [Cognito.3] Le politiche relative alle password per i pool di utenti di Cognito devono avere configurazioni avanzate
**Categoria:** Protezione > Gestione degli accessi sicuri
**Gravità:** media
**Tipo di risorsa:** `AWS::Cognito::UserPool`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-password-policy-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-password-policy-check.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| `minLength` | Il numero minimo di caratteri che una password deve contenere. | Numero intero | `8` Da a `128` | `8 ` |
| `requireLowercase` | Richiede almeno un carattere minuscolo in una password. | Booleano | `True`, `False` | `True` |
| `requireUppercase` | Richiede almeno un carattere maiuscolo in una password. | Booleano | `True`, `False` | `True` |
| `requireNumbers` | Richiede almeno un numero in una password. | Booleano | `True`, `False` | `True` |
| `requireSymbols` | Richiede almeno un simbolo in una password. | Booleano | `True`, `False` | `True` |
| `temporaryPasswordValidity` | Il numero massimo di giorni in cui una password può esistere prima della scadenza. | Numero intero | `7` Da a `365` | `7` |
Questo controllo verifica se la politica delle password per un pool di utenti di Amazon Cognito richiede l'uso di password complesse, in base alle impostazioni consigliate per le politiche di password. Il controllo ha esito negativo se la politica delle password per il pool di utenti non richiede password complesse. Facoltativamente, è possibile specificare valori personalizzati per le impostazioni dei criteri controllate dal controllo.
Le password complesse sono una best practice di sicurezza per i pool di utenti di Amazon Cognito. Le password deboli possono esporre le credenziali degli utenti a sistemi che indovinano le password e cercano di accedere ai dati. Questo è particolarmente vero per le applicazioni aperte a Internet. Le politiche relative alle password sono un elemento centrale della sicurezza degli elenchi degli utenti. Utilizzando una politica in materia di password, è possibile configurare un pool di utenti in modo da richiedere la complessità delle password e altre impostazioni conformi agli standard e ai requisiti di sicurezza.
### Correzione
Per informazioni sulla creazione o l'aggiornamento della politica di password per un pool di utenti di Amazon Cognito, consulta [Aggiungere i requisiti di password del pool di utenti](https://docs.aws.amazon.com/cognito/latest/developerguide/managing-users-passwords.html#user-pool-settings-policies) nella *Amazon Cognito Developer Guide*.
## [Cognito.4] I pool di utenti di Cognito dovrebbero avere la protezione dalle minacce attivata con la modalità di imposizione completa delle funzioni per l'autenticazione personalizzata
**Categoria:** Protezione > Gestione degli accessi sicuri
**Gravità:** media
**Tipo di risorsa:** `AWS::Cognito::UserPool`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cognito-userpool-cust-auth-threat-full-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-userpool-cust-auth-threat-full-check.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un pool di utenti di Amazon Cognito ha la protezione dalle minacce attivata con la modalità di imposizione impostata sulla funzionalità completa per l'autenticazione personalizzata. Il controllo fallisce se il pool di utenti ha la protezione dalle minacce disabilitata o se la modalità di imposizione non è impostata sulla funzionalità completa per l'autenticazione personalizzata.
La protezione dalle minacce, precedentemente denominata funzionalità di sicurezza avanzate, è un insieme di strumenti di monitoraggio delle attività indesiderate nel pool di utenti e strumenti di configurazione per arrestare automaticamente le attività potenzialmente dannose. Dopo aver creato un pool di utenti Amazon Cognito, puoi attivare la protezione dalle minacce con la modalità di imposizione completa delle funzioni per l'autenticazione personalizzata e personalizzare le azioni intraprese in risposta a diversi rischi. La modalità con funzionalità complete include una serie di reazioni automatiche per rilevare attività indesiderate e password compromesse.
### Correzione
Per informazioni sull'attivazione della protezione dalle minacce per un pool di utenti di Amazon Cognito, [consulta Sicurezza avanzata con protezione dalle minacce](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pool-settings-threat-protection.html) nella *Amazon Cognito* Developer Guide.
## [Cognito.5] L'MFA deve essere abilitata per i pool di utenti Cognito
**Categoria: Protezione > Gestione sicura degli accessi** > Autenticazione a più fattori
**Gravità:** media
**Tipo di risorsa:** `AWS::Cognito::UserPool`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-mfa-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-mfa-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un pool di utenti di Amazon Cognito configurato con una politica di accesso con sola password ha l'autenticazione a più fattori (MFA) abilitata. Il controllo ha esito negativo se il pool di utenti configurato con un criterio di accesso basato sulla sola password non ha l'MFA abilitata.
L'autenticazione a più fattori (MFA) aggiunge un fattore di autenticazione «qualcosa che possiedi» al fattore «qualcosa che conosci» (in genere nome utente e password). Per gli utenti federati, Amazon Cognito delega l'autenticazione al provider di identità (IdP) e non offre fattori di autenticazione aggiuntivi. Tuttavia, se si dispone di utenti locali con autenticazione tramite password, la configurazione dell'MFA per il pool di utenti ne aumenta la sicurezza.
**Nota**
Questo controllo non è applicabile agli utenti federati e agli utenti che accedono con fattori privi di password.
### Correzione
*Per informazioni su come configurare l'autenticazione a più fattori per un pool di utenti di Amazon Cognito, consulta [Adding MFA a un pool di utenti nella](https://docs.aws.amazon.com/cognito/latest/developerguide/user-pool-settings-mfa.html) Amazon Cognito Developer Guide.*
## [Cognito.6] I pool di utenti Cognito devono avere la protezione dall'eliminazione abilitata
**Categoria:** Proteggi > Protezione dei dati > Protezione dalla cancellazione dei dati
**Gravità:** media
**Tipo di risorsa:** `AWS::Cognito::UserPool`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-deletion-protection-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un pool di utenti di Amazon Cognito ha la protezione da eliminazione abilitata. Il controllo fallisce se la protezione da eliminazione è disabilitata per il pool di utenti.
La protezione dall'eliminazione aiuta a garantire che il pool di utenti non venga eliminato accidentalmente. Quando si configura un pool di utenti con protezione dall'eliminazione, il pool non può essere eliminato da nessun utente. La protezione da eliminazione impedisce di richiedere l'eliminazione di un pool di utenti a meno che non si modifichi prima il pool e si disattivi la protezione dall'eliminazione.
### Correzione
Per configurare la protezione dall'eliminazione per un pool di utenti di Amazon Cognito, consulta [Protezione dall'eliminazione del pool di utenti](https://docs.aws.amazon.com/cognito/latest/developerguide/user-pool-settings-deletion-protection.html) nella *Amazon Cognito Developer Guide*.
# Controlli CSPM Security Hub per AWS Config
Questi controlli CSPM di Security Hub valutano il AWS Config servizio e le risorse.
Questi controlli potrebbero non essere disponibili in tutti. Regioni AWS Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [Config.1] AWS Config deve essere abilitato e utilizzare il ruolo collegato al servizio per la registrazione delle risorse
**Requisiti correlati:** CIS AWS Foundations Benchmark v5.0.0/3.3, CIS Foundations Benchmark v1.2.0/2.5, CIS AWS Foundations Benchmark v1.4.0/3.5, CIS AWS Foundations Benchmark v3.0.0/3.3, NIST.800-53.r5 CM-3, NIST.800-53.r5 CM-6 (1), NIST.800-53.r5 CM-8 (2), PCI DSS versione 3.2.1/10.5.2, PCI DSS versione 3.2.1/11.5 AWS
**Categoria:** Identificazione > Inventario
**Severità:** critica
**Tipo di risorsa:** `AWS::::Account`
**AWS Config regola:** Nessuna (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: periodica**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| `includeConfigServiceLinkedRoleCheck` | Il controllo non valuta se AWS Config utilizza il ruolo collegato al servizio se il parametro è impostato su. `false` | Booleano | `true` o `false` | `true` |
Questo controllo verifica se AWS Config è abilitato nell'account corrente Regione AWS, registra tutte le risorse che corrispondono ai controlli abilitati nella regione corrente e utilizza il ruolo collegato al [servizio AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/using-service-linked-roles.html). Il nome del ruolo collegato al servizio è. **AWSServiceRoleForConfig** Se non si utilizza il ruolo collegato al servizio e non si imposta il `includeConfigServiceLinkedRoleCheck` parametro su`false`, il controllo ha esito negativo perché altri ruoli potrebbero non disporre delle autorizzazioni necessarie per AWS Config registrare accuratamente le risorse.
Il AWS Config servizio esegue la gestione della configurazione delle AWS risorse supportate nell'account e fornisce i file di registro. Le informazioni registrate includono l'elemento di configurazione (AWS risorsa), le relazioni tra gli elementi di configurazione e qualsiasi modifica alla configurazione all'interno delle risorse. Le risorse globali sono risorse disponibili in qualsiasi regione.
Il controllo viene valutato come segue:
+ Se la regione corrente è impostata come [regione di aggregazione](finding-aggregation.md), il controllo produce `PASSED` risultati solo se vengono registrate risorse globali AWS Identity and Access Management (IAM) (se sono stati abilitati i controlli che li richiedono).
+ Se la regione corrente è impostata come regione collegata, il controllo non valuta se le risorse globali IAM sono registrate.
+ Se la regione corrente non è nel tuo aggregatore o se l'aggregazione tra regioni non è impostata nel tuo account, il controllo produce `PASSED` risultati solo se le risorse globali IAM sono registrate (se hai abilitato i controlli che li richiedono).
I risultati del controllo non sono influenzati dalla scelta della registrazione giornaliera o continua delle modifiche allo stato delle risorse in. AWS Config Tuttavia, i risultati di questo controllo possono cambiare quando vengono rilasciati nuovi controlli se è stata configurata l'attivazione automatica di nuovi controlli o se si dispone di una politica di configurazione centrale che abilita automaticamente nuovi controlli. In questi casi, se non si registrano tutte le risorse, è necessario configurare la registrazione per le risorse associate ai nuovi controlli per ricevere un `PASSED` risultato.
I controlli di sicurezza CSPM di Security Hub funzionano come previsto solo se si abilita AWS Config in tutte le regioni e si configura la registrazione delle risorse per i controlli che la richiedono.
**Nota**
Config.1 richiede che AWS Config sia abilitato in tutte le regioni in cui si utilizza Security Hub CSPM.
Poiché Security Hub CSPM è un servizio regionale, il controllo eseguito per questo controllo valuta solo la regione corrente per l'account.
Per consentire i controlli di sicurezza sulle risorse globali IAM in una regione, è necessario registrare le risorse globali IAM in quella regione. Le regioni in cui non sono registrate risorse globali IAM riceveranno un `PASSED` risultato predefinito per i controlli che controllano le risorse globali IAM. Poiché le risorse globali IAM sono identiche in tutte le aree Regioni AWS, ti consigliamo di registrare le risorse globali IAM solo nella regione principale (se l'aggregazione interregionale è abilitata nel tuo account). Le risorse IAM verranno registrate solo nella regione in cui è attivata la registrazione delle risorse globali.
I tipi di risorse IAM registrati a livello globale che AWS Config supportano sono utenti, gruppi, ruoli e politiche gestite dai clienti IAM. Puoi prendere in considerazione la possibilità di disabilitare i controlli CSPM di Security Hub che controllano questi tipi di risorse nelle regioni in cui la registrazione globale delle risorse è disattivata. Per ulteriori informazioni, consulta [Controlli consigliati da disabilitare in Security Hub CSPM](controls-to-disable.md).
### Correzione
Nella regione principale e nelle regioni che non fanno parte di un aggregatore, registra tutte le risorse necessarie per i controlli abilitati nella regione corrente, incluse le risorse globali IAM se hai abilitato controlli che richiedono risorse globali IAM.
Nelle regioni collegate, è possibile utilizzare qualsiasi modalità di AWS Config registrazione, purché si registrino tutte le risorse che corrispondono ai controlli abilitati nella regione corrente. Nelle regioni collegate, se hai abilitato i controlli che richiedono la registrazione di risorse globali IAM, non riceverai alcun `FAILED` risultato (la registrazione di altre risorse è sufficiente).
Il `StatusReasons` campo nell'`Compliance`oggetto della ricerca può aiutarti a determinare il motivo per cui hai fallito la ricerca per questo controllo. Per ulteriori informazioni, consulta [Dettagli sulla conformità per i risultati del controllo](controls-findings-create-update.md#control-findings-asff-compliance).
Per un elenco delle risorse da registrare per ogni controllo, vedere[AWS Config Risorse necessarie per i risultati del controllo](controls-config-resources.md). Per informazioni generali sull'attivazione AWS Config e la configurazione della registrazione delle risorse, vedere[Abilitazione e configurazione AWS Config per Security Hub CSPM](securityhub-setup-prereqs.md).
# Controlli CSPM del Security Hub per Amazon Connect
Questi controlli CSPM di Security Hub valutano il servizio e le risorse Amazon Connect.
Questi controlli potrebbero non essere disponibili tutti. Regioni AWS Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::CustomerProfiles::ObjectType`
**Regola AWS Config : ** `customerprofiles-object-type-tagged`
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un tipo di oggetto Amazon Connect Customer Profiles ha tag con le chiavi specifiche definite nel parametro`requiredKeyTags`. Il controllo fallisce se il tipo di oggetto non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredKeyTags`. Se il parametro `requiredKeyTags` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il tipo di oggetto non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella Guida per l'utente *IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Migliori pratiche e strategie](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) nella Guida per l'*utente di Tagging AWS Resources and Tag Editor*.
### Correzione
Per aggiungere tag a un tipo di oggetto Customer Profiles, consulta [Aggiungere tag alle risorse in Amazon Connect](https://docs.aws.amazon.com/connect/latest/adminguide/tagging.html) nella *Amazon Connect Administrator Guide*.
## [Connect.2] Le istanze Amazon Connect devono avere la registrazione abilitata CloudWatch
**Categoria:** Identificazione > Registrazione
**Gravità:** media
**Tipo di risorsa:** `AWS::Connect::Instance`
**Regola AWS Config : ** [connect-instance-logging-enabled](https://docs.aws.amazon.com/config/latest/developerguide/connect-instance-logging-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un'istanza Amazon Connect è configurata per generare e archiviare log di flusso in un gruppo di CloudWatch log Amazon. Il controllo fallisce se l'istanza Amazon Connect non è configurata per generare e archiviare log di flusso in un gruppo di CloudWatch log.
I log di flusso di Amazon Connect forniscono dettagli in tempo reale sugli eventi nei flussi di Amazon Connect. Un *flusso* definisce l'esperienza del cliente con un contact center Amazon Connect dall'inizio alla fine. Per impostazione predefinita, quando crei una nuova istanza Amazon Connect, viene creato automaticamente un gruppo di CloudWatch log Amazon per archiviare i log di flusso per l'istanza. I log di flusso possono aiutarti ad analizzare i flussi, trovare errori e monitorare le metriche operative. Puoi anche impostare avvisi per eventi specifici che possono verificarsi in un flusso.
### Correzione
Per informazioni sull'abilitazione dei log di flusso per un'istanza Amazon Connect, consulta [Abilitare i log di flusso di Amazon Connect in un gruppo di CloudWatch log Amazon](https://docs.aws.amazon.com/connect/latest/adminguide/contact-flow-logs.html) Connect nella *Amazon Connect Administrator Guide*.
# Controlli CSPM del Security Hub per Amazon Data Firehose
Questi controlli CSPM di Security Hub valutano il servizio e le risorse Amazon Data Firehose.
Questi controlli potrebbero non essere disponibili tutti. Regioni AWS Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [DataFirehose.1] I flussi di distribuzione di Firehose devono essere crittografati quando sono inattivi
**Requisiti correlati:** NIST.800-53.r5 AC-3, NIST.800-53.r5 AU-3, NIST.800-53.r5 SC-1 2, 3, 8 NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2
**Categoria:** Protezione > Protezione dei dati > Crittografia di data-at-rest
**Gravità:** media
**Tipo di risorsa:** `AWS::KinesisFirehose::DeliveryStream`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/kinesis-firehose-delivery-stream-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/kinesis-firehose-delivery-stream-encrypted.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se un flusso di distribuzione di Amazon Data Firehose è crittografato quando è inattivo con la crittografia lato server. Questo controllo fallisce se un flusso di distribuzione Firehose non è crittografato a riposo con la crittografia lato server.
La crittografia lato server è una funzionalità dei flussi di distribuzione di Amazon Data Firehose che crittografa automaticamente i dati prima che siano inattivi utilizzando una chiave creata in (). AWS Key Management Service AWS KMS I dati vengono crittografati prima di essere scritti nel layer di storage stream Data Firehose e decrittografati dopo essere stati recuperati dallo storage. Ciò consente di rispettare i requisiti normativi e di migliorare la sicurezza dei dati.
### Correzione
*Per abilitare la crittografia lato server sui flussi di distribuzione Firehose, consulta la sezione [Protezione dei dati in Amazon Data Firehose nella Amazon Data Firehose Developer](https://docs.aws.amazon.com/firehose/latest/dev/encryption.html) Guide.*
# Controlli CSPM Security Hub per AWS Database Migration Service
Questi AWS Security Hub CSPM controlli valutano AWS Database Migration Service (AWS DMS) e AWS DMS le risorse. I controlli potrebbero non essere disponibili in tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [DMS.1] Le istanze di replica del Database Migration Service non devono essere pubbliche
**Requisiti correlati:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), (21) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (11), (16) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS versione 3.2.1/1.2.1, NIST.800-53.r5 SC-7 PCI DSS versione 3.2.1/1.3.1, PCI DSS versione 3.2.1/1.3.4, PCI DSS versione 3.2.1/1.3.2, PCI DSS versione 3.2.1/1.3.2 2.1/1.3.6, PCI DSS versione 4.0.1/1.4.4
**Categoria:** Protezione > Configurazione di rete protetta
**Severità:** critica
**Tipo di risorsa:** `AWS::DMS::ReplicationInstance`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-not-public.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-not-public.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se le istanze di AWS DMS replica sono pubbliche. A tale scopo, esamina il valore del campo. `PubliclyAccessible`
Un'istanza di replica privata ha un indirizzo IP privato a cui non è possibile accedere al di fuori della rete di replica. Un'istanza di replica deve avere un indirizzo IP privato quando i database di origine e di destinazione si trovano nella stessa rete. La rete deve inoltre essere connessa al VPC dell'istanza di replica utilizzando una VPN o un Direct Connect peering VPC. *Per ulteriori informazioni sulle istanze di replica pubbliche e private, consulta Istanze di replica [pubbliche e private](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.html#CHAP_ReplicationInstance.PublicPrivate) nella Guida per l'utente.AWS Database Migration Service *
È inoltre necessario assicurarsi che l'accesso alla configurazione dell' AWS DMS istanza sia limitato ai soli utenti autorizzati. A tale scopo, limita le autorizzazioni IAM degli utenti per modificare AWS DMS impostazioni e risorse.
### Correzione
Non è possibile modificare l'impostazione di accesso pubblico per un'istanza di replica DMS dopo averla creata. Per modificare l'impostazione di accesso pubblico, [elimina l'istanza corrente](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.Deleting.html) e quindi [ricreala](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.Creating.html). Non selezionare l'opzione **Accessibile pubblicamente**.
## [DMS.2] I certificati DMS devono essere etichettati
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::DMS::Certificate`
**AWS Config regola:** `tagged-dms-certificate` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | No default value |
Questo controllo verifica se un AWS DMS certificato ha tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se il certificato non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il certificato non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
*Per aggiungere tag a un certificato DMS, consulta [Tagging resources AWS Database Migration Service nella](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Tagging.html) Guida per l'utente.AWS Database Migration Service *
## [DMS.3] Le sottoscrizioni agli eventi DMS devono essere contrassegnate
**Categoria: Identificazione > Inventario > Etichettatura**
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::DMS::EventSubscription`
**AWS Config regola:** `tagged-dms-eventsubscription` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | No default value |
Questo controllo verifica se una sottoscrizione a un AWS DMS evento ha tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se la sottoscrizione all'evento non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se la sottoscrizione all'evento non è contrassegnata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
*Per aggiungere tag a un abbonamento a un evento DMS, consulta [Tagging resources AWS Database Migration Service nella](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Tagging.html) Guida per l'utente.AWS Database Migration Service *
## [DMS.4] Le istanze di replica DMS devono essere contrassegnate
**Categoria: Identificazione > Inventario > Etichettatura**
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::DMS::ReplicationInstance`
**AWS Config regola:** `tagged-dms-replicationinstance` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | No default value |
Questo controllo verifica se un'istanza di AWS DMS replica ha tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo ha esito negativo se l'istanza di replica non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro. `requiredTagKeys` Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'istanza di replica non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
*Per aggiungere tag a un'istanza di replica DMS, consulta [Tagging resources nella AWS Database Migration Service](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Tagging.html) Guida per l'utente.AWS Database Migration Service *
## [DMS.5] I sottoreti di replica DMS devono essere etichettati
**Categoria: Identificazione > Inventario > Etichettatura**
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::DMS::ReplicationSubnetGroup`
**AWS Config regola:** `tagged-dms-replicationsubnetgroup` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | No default value |
Questo controllo verifica se un gruppo di AWS DMS sottoreti di replica dispone di tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo ha esito negativo se il gruppo di sottorete di replica non dispone di chiavi di tag o se non dispone di tutte le chiavi specificate nel parametro. `requiredTagKeys` Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il gruppo di sottorete di replica non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
*Per aggiungere tag a un sottogruppo di replica DMS, consulta [Tagging resources](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Tagging.html) nella Guida per l'utente. AWS Database Migration ServiceAWS Database Migration Service *
## [DMS.6] Le istanze di replica DMS devono avere l'aggiornamento automatico delle versioni secondarie abilitato
**Requisiti correlati:** NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2 (2), NIST.800-53.r5 SI-2 (4), NIST.800-53.r5 SI-2 (5), PCI DSS v4.0.1/6.3.3
**Categoria**: Identificazione > Gestione di vulnerabilità, patch e versioni
**Gravità:** media
**Tipo di risorsa:** `AWS::DMS::ReplicationInstance`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/dms-auto-minor-version-upgrade-check.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-auto-minor-version-upgrade-check.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se l'aggiornamento automatico della versione secondaria è abilitato per un'istanza di AWS DMS replica. Il controllo fallisce se l'aggiornamento automatico della versione secondaria non è abilitato per un'istanza di replica DMS.
DMS fornisce l'aggiornamento automatico delle versioni secondarie a ciascun motore di replica supportato, in modo da poter mantenere l'istanza di replica. up-to-date Le versioni minori possono introdurre nuove funzionalità software, correzioni di bug, patch di sicurezza e miglioramenti delle prestazioni. Abilitando l'aggiornamento automatico delle versioni secondarie sulle istanze di replica DMS, gli aggiornamenti minori vengono applicati automaticamente durante la finestra di manutenzione o immediatamente se viene selezionata l'opzione **Applica** modifiche immediatamente.
### Correzione
*Per abilitare l'aggiornamento automatico delle versioni secondarie sulle istanze di replica DMS, vedere [Modifica](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.Modifying.html) di un'istanza di replica nella Guida per l'utente.AWS Database Migration Service *
## [DMS.7] Le attività di replica DMS per il database di destinazione devono avere la registrazione abilitata
**Requisiti correlati:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), (9), NIST.800-53.r5 AC-6 NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.4.2
**Categoria:** Identificazione > Registrazione
**Gravità:** media
**Tipo di risorsa:** `AWS::DMS::ReplicationTask`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-task-targetdb-logging.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-task-targetdb-logging.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se la registrazione è abilitata con il livello di gravità minimo di `LOGGER_SEVERITY_DEFAULT` per le attività di replica DMS e. `TARGET_APPLY` `TARGET_LOAD` Il controllo ha esito negativo se la registrazione non è abilitata per queste attività o se il livello di gravità minimo è inferiore a. `LOGGER_SEVERITY_DEFAULT`
DMS utilizza Amazon CloudWatch per registrare le informazioni durante il processo di migrazione. Utilizzando le impostazioni delle attività di registrazione, puoi specificare quali attività dei componenti vengono registrate e quante informazioni vengono registrate. È necessario specificare la registrazione per le seguenti attività:
+ `TARGET_APPLY`: i dati e le istruzioni DDL (Data Definition Language) vengono applicati al database di destinazione.
+ `TARGET_LOAD`: i dati vengono caricati nel database di destinazione.
La registrazione svolge un ruolo fondamentale nelle attività di replica DMS in quanto consente il monitoraggio, la risoluzione dei problemi, il controllo, l'analisi delle prestazioni, il rilevamento e il ripristino degli errori, nonché l'analisi e il reporting cronologici. Contribuisce a garantire la corretta replica dei dati tra database, mantenendo al contempo l'integrità dei dati e la conformità ai requisiti normativi. Livelli di registrazione diversi da `DEFAULT` sono raramente necessari per questi componenti durante la risoluzione dei problemi. Si consiglia di mantenere il livello di registrazione come `DEFAULT` per questi componenti, a meno che non venga espressamente richiesto di modificarlo entro. Supporto Un livello di registrazione minimo `DEFAULT` garantisce che i messaggi informativi, gli avvisi e i messaggi di errore vengano scritti nei log. Questo controllo verifica se il livello di registrazione è almeno uno dei seguenti per le attività di replica precedenti:, o. `LOGGER_SEVERITY_DEFAULT` `LOGGER_SEVERITY_DEBUG` `LOGGER_SEVERITY_DETAILED_DEBUG`
### Correzione
*Per abilitare la registrazione per le attività di replica DMS del database di destinazione, vedere [Visualizzazione e gestione dei AWS DMS](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Monitoring.html#CHAP_Monitoring.ManagingLogs) registri delle attività nella Guida per l'utente.AWS Database Migration Service *
## [DMS.8] Le attività di replica DMS per il database di origine devono avere la registrazione abilitata
**Requisiti correlati:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), (9), NIST.800-53.r5 AC-6 NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.4.2
**Categoria:** Identificazione > Registrazione
**Gravità:** media
**Tipo di risorsa:** `AWS::DMS::ReplicationTask`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-task-sourcedb-logging.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-task-sourcedb-logging.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se la registrazione è abilitata con il livello di gravità minimo di `LOGGER_SEVERITY_DEFAULT` per le attività di replica DMS e. `SOURCE_CAPTURE` `SOURCE_UNLOAD` Il controllo ha esito negativo se la registrazione non è abilitata per queste attività o se il livello di gravità minimo è inferiore a. `LOGGER_SEVERITY_DEFAULT`
DMS utilizza Amazon CloudWatch per registrare le informazioni durante il processo di migrazione. Utilizzando le impostazioni delle attività di registrazione, puoi specificare quali attività dei componenti vengono registrate e quante informazioni vengono registrate. È necessario specificare la registrazione per le seguenti attività:
+ `SOURCE_CAPTURE`— I dati di replica continua o di acquisizione dei dati di modifica (CDC) vengono acquisiti dal database o dal servizio di origine e passati al componente del `SORTER` servizio.
+ `SOURCE_UNLOAD`— I dati vengono scaricati dal database o dal servizio di origine durante il pieno caricamento.
La registrazione svolge un ruolo fondamentale nelle attività di replica DMS poiché consente il monitoraggio, la risoluzione dei problemi, il controllo, l'analisi delle prestazioni, il rilevamento e il ripristino degli errori, nonché l'analisi e il reporting cronologici. Contribuisce a garantire la corretta replica dei dati tra database, mantenendo al contempo l'integrità dei dati e la conformità ai requisiti normativi. Livelli di registrazione diversi da `DEFAULT` sono raramente necessari per questi componenti durante la risoluzione dei problemi. Si consiglia di mantenere il livello di registrazione come `DEFAULT` per questi componenti, a meno che non venga espressamente richiesto di modificarlo entro. Supporto Un livello di registrazione minimo `DEFAULT` garantisce che i messaggi informativi, gli avvisi e i messaggi di errore vengano scritti nei log. Questo controllo verifica se il livello di registrazione è almeno uno dei seguenti per le attività di replica precedenti:, o. `LOGGER_SEVERITY_DEFAULT` `LOGGER_SEVERITY_DEBUG` `LOGGER_SEVERITY_DETAILED_DEBUG`
### Correzione
*Per abilitare la registrazione per le attività di replica DMS del database di origine, vedere [Visualizzazione e gestione dei AWS DMS](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Monitoring.html#CHAP_Monitoring.ManagingLogs) registri delle attività nella Guida per l'utente.AWS Database Migration Service *
## [DMS.9] Gli endpoint DMS devono utilizzare SSL
**Requisiti correlati:** NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, 3 ( NIST.800-53.r5 SC-23), NIST.800-53.r5 SC-2 (4), (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, PCI NIST.800-53.r5 SC-8 DSS NIST.800-53.r5 SC-8 v4.0.1/4.2.1
**Categoria: Protezione > Protezione dei dati > Crittografia** di data-in-transit
**Gravità:** media
**Tipo di risorsa:** `AWS::DMS::Endpoint`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/dms-endpoint-ssl-configured.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-endpoint-ssl-configured.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un AWS DMS endpoint utilizza una connessione SSL. Il controllo ha esito negativo se l'endpoint non utilizza SSL.
Le connessioni SSL/TLS forniscono un livello di sicurezza crittografando le connessioni tra le istanze di replica DMS e il database. L'utilizzo dei certificati fornisce un ulteriore livello di sicurezza convalidando che la connessione venga stabilita al database previsto. A tale scopo, verifica il certificato del server che viene installato automaticamente su tutte le istanze di database fornite. Abilitando la connessione SSL sugli endpoint DMS, proteggete la riservatezza dei dati durante la migrazione.
### Correzione
*Per aggiungere una connessione SSL a un endpoint DMS nuovo o esistente, consulta [Using SSL](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Security.SSL.html#CHAP_Security.SSL.Procedure) with nella Guida per l'utente. AWS Database Migration ServiceAWS Database Migration Service *
## [DMS.10] Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata
**Requisiti correlati:** NIST.800-53.r5 AC-2,,, 7,, NIST.800-53.r5 AC-3, PCI DSS NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-1 v4.0.1/7.3.1 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-5
**Categoria:** Protezione > Gestione sicura degli accessi > Autenticazione senza password
**Gravità:** media
**Tipo di risorsa:** `AWS::DMS::Endpoint`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/dms-neptune-iam-authorization-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-neptune-iam-authorization-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un AWS DMS endpoint per un database Amazon Neptune è configurato con l'autorizzazione IAM. Il controllo fallisce se l'endpoint DMS non ha l'autorizzazione IAM abilitata.
AWS Identity and Access Management (IAM) fornisce un controllo granulare degli accessi su tutto il territorio. AWS Con IAM, puoi specificare chi può accedere a quali servizi e risorse e in quali condizioni. Con le policy IAM, gestisci le autorizzazioni per la tua forza lavoro e i tuoi sistemi per garantire le autorizzazioni con privilegi minimi. Abilitando l'autorizzazione IAM sugli AWS DMS endpoint per i database Neptune, puoi concedere privilegi di autorizzazione agli utenti IAM utilizzando un ruolo di servizio specificato dal parametro. `ServiceAccessRoleARN`
### Correzione
*Per abilitare l'autorizzazione IAM sugli endpoint DMS per i database Neptune, consulta Using Amazon [Neptune come target nella Guida per l'utente](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Target.Neptune.html). AWS Database Migration ServiceAWS Database Migration Service *
## [DMS.11] Gli endpoint DMS per MongoDB devono avere un meccanismo di autenticazione abilitato
**Requisiti correlati:** NIST.800-53.r5 AC-3,,, PCI DSS v4.0.1/7.3.1 NIST.800-53.r5 AC-6 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-5
**Categoria:** Protezione > Gestione sicura degli accessi > Autenticazione senza password
**Gravità:** media
**Tipo di risorsa:** `AWS::DMS::Endpoint`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/dms-mongo-db-authentication-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-mongo-db-authentication-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un AWS DMS endpoint per MongoDB è configurato con un meccanismo di autenticazione. Il controllo fallisce se non è impostato un tipo di autenticazione per l'endpoint.
AWS Database Migration Service **supporta due metodi di autenticazione per MongoDB: **MONGODB-CR per MongoDB versione 2.x e SCRAM-SHA-1** per MongoDB versione 3.x o successiva.** Questi metodi di autenticazione vengono utilizzati per autenticare e crittografare le password MongoDB se gli utenti desiderano utilizzare le password per accedere ai database. L'autenticazione sugli AWS DMS endpoint garantisce che solo gli utenti autorizzati possano accedere e modificare i dati migrati tra i database. Senza un'autenticazione adeguata, gli utenti non autorizzati potrebbero essere in grado di accedere ai dati sensibili durante il processo di migrazione. Ciò può causare violazioni dei dati, perdita di dati o altri incidenti di sicurezza.
### Correzione
*Per abilitare un meccanismo di autenticazione sugli endpoint DMS per MongoDB, consulta [Usare MongoDB](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Source.MongoDB.html) come fonte nella Guida per l'utente. AWS DMSAWS Database Migration Service *
## [DMS.12] Gli endpoint DMS per Redis OSS devono avere TLS abilitato
**Requisiti correlati**:, 3, PCI DSS v4.0.1/4.2.1 NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-1
**Categoria: Proteggi > Protezione dei dati > Crittografia** di data-in-transit
**Gravità:** media
**Tipo di risorsa:** `AWS::DMS::Endpoint`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/dms-redis-tls-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-redis-tls-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un AWS DMS endpoint per Redis OSS è configurato con una connessione TLS. Il controllo fallisce se sull'endpoint non è abilitato TLS.
TLS fornisce end-to-end sicurezza quando i dati vengono inviati tra applicazioni o database su Internet. Quando configuri la crittografia SSL per l'endpoint DMS, abilita la comunicazione crittografata tra i database di origine e di destinazione durante il processo di migrazione. Questo aiuta a prevenire l'intercettazione e l'intercettazione di dati sensibili da parte di malintenzionati. Senza la crittografia SSL, è possibile accedere ai dati sensibili, con conseguenti violazioni dei dati, perdita di dati o altri incidenti di sicurezza.
### Correzione
*Per abilitare una connessione TLS sugli endpoint DMS per Redis, consulta [Using Redis come](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Target.Redis.html) target nella Guida per l'utente. AWS Database Migration ServiceAWS Database Migration Service *
## [DMS.13] Le istanze di replica DMS devono essere configurate per utilizzare più zone di disponibilità
**Categoria: Recupero > Resilienza > Alta disponibilità**
**Gravità:** media
**Tipo di risorsa:** `AWS::DMS::ReplicationInstance`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-instance-multi-az-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-instance-multi-az-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un'istanza di replica AWS Database Migration Service (AWS DMS) è configurata per utilizzare più zone di disponibilità (implementazione Multi-AZ). Il controllo ha esito negativo se l'istanza di AWS DMS replica non è configurata per utilizzare una distribuzione Multi-AZ.
In una distribuzione Multi-AZ, effettua AWS DMS automaticamente il provisioning e mantiene una replica in standby di un'istanza di replica in una zona di disponibilità (AZ) diversa. L'istanza di replica principale viene quindi replicata in modo sincrono nella replica in standby. Se l'istanza di replica primaria incorre in un guasto o non risponde, l'istanza di standby riprende tutte le attività in esecuzione con un'interruzione minima. *Per ulteriori informazioni, consulta [Lavorare con un'istanza di replica](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.html) nella Guida per l'utente.AWS Database Migration Service *
### Correzione
Dopo aver creato un'istanza di AWS DMS replica, è possibile modificare le relative impostazioni di distribuzione Multi-AZ. *Per informazioni sulla modifica di questa e di altre impostazioni per un'istanza di replica esistente, vedere [Modifica di un'istanza di replica nella Guida](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.Modifying.html) per l'utente.AWS Database Migration Service *
# Controlli CSPM Security Hub per AWS DataSync
Questi controlli CSPM di Security Hub valutano il AWS DataSync servizio e le risorse. I controlli potrebbero non essere disponibili in tutti. Regioni AWS Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [DataSync.1] DataSync le attività devono avere la registrazione abilitata
**Categoria:** Identificazione > Registrazione
**Gravità:** media
**Tipo di risorsa:** `AWS::DataSync::Task`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/datasync-task-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/datasync-task-logging-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se per un' AWS DataSync attività è abilitata la registrazione. Il controllo fallisce se per l'attività non è abilitata la registrazione.
I registri di controllo tengono traccia e monitorano le attività del sistema. Forniscono una registrazione degli eventi che può aiutarvi a rilevare violazioni della sicurezza, indagare sugli incidenti e rispettare le normative. I registri di controllo migliorano anche la responsabilità e la trasparenza complessive dell'organizzazione.
### Correzione
*Per informazioni sulla configurazione della registrazione per le AWS DataSync attività, consulta [Monitoraggio dei trasferimenti di dati con Amazon CloudWatch Logs](https://docs.aws.amazon.com/datasync/latest/userguide/configure-logging.html) nella Guida per l'AWS DataSync utente.*
## [DataSync.2] DataSync le attività devono essere etichettate
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::DataSync::Task`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/datasync-task-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/datasync-task-tagged.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Un elenco di chiavi di tag non di sistema che devono essere assegnate a una risorsa valutata. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un' AWS DataSync attività ha le chiavi dei tag specificate dal `requiredKeyTags` parametro. Il controllo ha esito negativo se l'attività non ha alcuna chiave di tag o non ha tutte le chiavi specificate dal `requiredKeyTags` parametro. Se non specificate alcun valore per il `requiredKeyTags` parametro, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'attività non ha alcuna chiave di tag. Il controllo ignora i tag di sistema, che vengono applicati automaticamente e hanno il `aws:` prefisso.
Un tag è un'etichetta creata e assegnata a una risorsa. AWS Ogni tag è composto da una chiave di tag obbligatoria e da un valore di tag opzionale. È possibile utilizzare i tag per classificare le risorse in base allo scopo, al proprietario, all'ambiente o ad altri criteri. Possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. Possono anche aiutarti a tenere traccia delle azioni e delle notifiche dei proprietari delle risorse. Puoi anche utilizzare i tag per implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione. *Per ulteriori informazioni sulle strategie ABAC, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella IAM User Guide.* Per ulteriori informazioni sui tag, consulta la Guida per l'utente di [Tagging AWS Resources and Tag Editor](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**Nota**
Non memorizzare informazioni personali identificabili o altre informazioni riservate o sensibili nei tag. I tag sono accessibili da molti Servizi AWS. Non sono destinati a essere utilizzati per dati privati o sensibili.
### Correzione
Per informazioni sull'aggiunta di tag a un' AWS DataSync attività, consulta [Taggare le AWS DataSync attività](https://docs.aws.amazon.com/datasync/latest/userguide/tagging-tasks.html) nella *Guida per l'AWS DataSync utente*.
# Controlli CSPM di Security Hub per Amazon Detective
Questo AWS Security Hub CSPM controllo valuta il servizio e le risorse di Amazon Detective. Il controllo potrebbe non essere disponibile in tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [Detective.1] I grafici del comportamento dei Detective devono essere etichettati
**Categoria: Identificazione > Inventario > Etichettatura**
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::Detective::Graph`
**AWS Config regola:** `tagged-detective-graph` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | No default value |
Questo controllo verifica se un grafico comportamentale di Amazon Detective contiene tag con le chiavi specifiche definite nel parametro`requiredTagKeys`. Il controllo fallisce se il grafico del comportamento non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il grafico del comportamento non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
Per aggiungere tag a un grafico del comportamento di un Detective, consulta [Aggiungere tag a un grafico comportamentale](https://docs.aws.amazon.com/detective/latest/adminguide/graph-tags.html#graph-tags-add-console) nella *Amazon Detective Administration Guide*.
# Controlli CSPM del Security Hub per Amazon DocumentDB
Questi AWS Security Hub CSPM controlli valutano il servizio e le risorse di Amazon DocumentDB (con compatibilità con MongoDB). I controlli potrebbero non essere disponibili in tutti. Regioni AWS Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi
**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.r5 SC-7 NIST.800-53.r5 SI-7 ( NIST.800-53.r5 SC-26)
**Categoria: Protezione > Protezione** dei dati > Crittografia di data-at-rest
**Gravità:** media
**Tipo di risorsa:** `AWS::RDS::DBCluster`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-encrypted.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un cluster Amazon DocumentDB è crittografato a riposo. Il controllo fallisce se un cluster Amazon DocumentDB non è crittografato a riposo.
I dati inattivi si riferiscono a tutti i dati archiviati in uno storage persistente e non volatile per qualsiasi durata. La crittografia consente di proteggere la riservatezza di tali dati, riducendo il rischio che un utente non autorizzato possa accedervi. I dati nei cluster Amazon DocumentDB devono essere crittografati quando sono inattivi per un ulteriore livello di sicurezza. Amazon DocumentDB utilizza l'Advanced Encryption Standard (AES-256) a 256 bit per crittografare i dati utilizzando chiavi di crittografia memorizzate in (). AWS Key Management Service AWS KMS
### Correzione
Puoi abilitare la crittografia a riposo quando crei un cluster Amazon DocumentDB. Non è possibile modificare le impostazioni di crittografia dopo aver creato un cluster. Per ulteriori informazioni, consulta [Enabling encryption at rest for an Amazon DocumentDB cluster nella Amazon DocumentDB](https://docs.aws.amazon.com/documentdb/latest/developerguide/encryption-at-rest.html#encryption-at-rest-enabling) *Developer Guide*.
## [DocumentDB.2] I cluster Amazon DocumentDB devono avere un periodo di conservazione dei backup adeguato
**Requisiti correlati:** NIST.800-53.r5 SI-12, PCI DSS v4.0.1/3.2.1
**Categoria**: Ripristino > Resilienza > Backup abilitati
**Gravità:** media
**Tipo di risorsa:** `AWS::RDS::DBCluster`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-backup-retention-check.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-backup-retention-check.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| `minimumBackupRetentionPeriod` | Periodo minimo di conservazione dei backup in giorni | Numero intero | `7` Da a `35` | `7` |
Questo controllo verifica se un cluster Amazon DocumentDB ha un periodo di conservazione dei backup maggiore o uguale al periodo di tempo specificato. Il controllo fallisce se il periodo di conservazione del backup è inferiore al periodo di tempo specificato. A meno che non si fornisca un valore di parametro personalizzato per il periodo di conservazione del backup, Security Hub CSPM utilizza un valore predefinito di 7 giorni.
I backup aiutano a ripristinare più rapidamente un incidente di sicurezza e a rafforzare la resilienza dei sistemi. Automatizzando i backup per i cluster Amazon DocumentDB, sarai in grado di ripristinare i sistemi in un determinato momento e ridurre al minimo i tempi di inattività e la perdita di dati. In Amazon DocumentDB, i cluster hanno un periodo di conservazione dei backup predefinito di 1 giorno. Questo periodo deve essere aumentato a un valore compreso tra 7 e 35 giorni per passare questo controllo.
### Correzione
*Per modificare il periodo di conservazione dei backup per i cluster Amazon DocumentDB, consulta [Modifying an Amazon DocumentDB cluster nella Amazon DocumentDB Developer Guide](https://docs.aws.amazon.com/documentdb/latest/developerguide/db-cluster-modify.html).* Per **Backup**, scegli il periodo di conservazione del backup.
## [DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche
**Requisiti correlati:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4,, (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI NIST.800-53.r5 SC-7 DSS v4.0.1/1.4.4
**Categoria:** Protezione > Configurazione di rete protetta
**Severità:** critica
**Tipo di risorsa:** `AWS::RDS::DBClusterSnapshot`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-snapshot-public-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-snapshot-public-prohibited.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se uno snapshot manuale del cluster di Amazon DocumentDB è pubblico. Il controllo fallisce se lo snapshot manuale del cluster è pubblico.
Uno snapshot manuale del cluster di Amazon DocumentDB non deve essere pubblico a meno che non sia previsto. Se condividi uno snapshot manuale non crittografato come pubblico, lo snapshot è disponibile per tutti. Account AWS Le istantanee pubbliche possono causare un'esposizione involontaria dei dati.
**Nota**
Questo controllo valuta le istantanee manuali del cluster. Non puoi condividere uno snapshot del cluster automatizzato di Amazon DocumentDB. Tuttavia, puoi creare uno snapshot manuale copiando lo snapshot automatico e quindi condividerlo.
### Correzione
*Per rimuovere l'accesso pubblico agli snapshot manuali dei cluster di Amazon DocumentDB, consulta [Sharing a snapshot nella Amazon DocumentDB Developer](https://docs.aws.amazon.com/documentdb/latest/developerguide/backup_restore-share_cluster_snapshots.html#backup_restore-share_snapshots) Guide.* A livello di codice, puoi utilizzare l'operazione Amazon DocumentDB. `modify-db-snapshot-attribute` Imposta `attribute-name` come e come`restore`. `values-to-remove` `all`
## [DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch
**Requisiti correlati:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), (9), NIST.800-53.r5 AC-6 NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.3.3
**Categoria:** Identificazione > Registrazione
**Gravità:** media
**Tipo di risorsa:** `AWS::RDS::DBCluster`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-audit-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-audit-logging-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un cluster Amazon DocumentDB pubblica log di audit su Amazon Logs. CloudWatch Il controllo fallisce se il cluster non pubblica i log di controllo su Logs. CloudWatch
Amazon DocumentDB (con compatibilità con MongoDB) ti consente di controllare gli eventi che sono stati eseguiti nel tuo cluster. Sono esempi di eventi registrati i tentativi di autenticazione riusciti e non riusciti, l'eliminazione di una raccolta in un database o la creazione di un indice. Per impostazione predefinita, il controllo è disabilitato in Amazon DocumentDB e richiede l'intervento dell'utente per abilitarlo.
### Correzione
*Per pubblicare i log di audit di Amazon DocumentDB su CloudWatch Logs, consulta [Enabling auditing nella](https://docs.aws.amazon.com/documentdb/latest/developerguide/event-auditing.html#event-auditing-enabling-auditing) Amazon DocumentDB Developer Guide.*
## [DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata
**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), (2) NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5
**Categoria:** Protezione > Protezione dei dati > Protezione dalla cancellazione dei dati
**Gravità:** media
**Tipo di risorsa:** `AWS::RDS::DBCluster`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-deletion-protection-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un cluster Amazon DocumentDB ha la protezione da eliminazione abilitata. Il controllo fallisce se nel cluster non è abilitata la protezione da eliminazione.
L'attivazione della protezione dall'eliminazione del cluster offre un ulteriore livello di protezione contro l'eliminazione accidentale del database o l'eliminazione da parte di un utente non autorizzato. Un cluster Amazon DocumentDB non può essere eliminato mentre la protezione da eliminazione è abilitata. È necessario innanzitutto disabilitare la protezione da eliminazione prima che una richiesta di eliminazione possa avere successo. La protezione da eliminazione è abilitata per impostazione predefinita quando crei un cluster nella console Amazon DocumentDB.
### Correzione
*Per abilitare la protezione da eliminazione per un cluster Amazon DocumentDB esistente, consulta [Modifying an Amazon DocumentDB cluster nella Amazon DocumentDB Developer](https://docs.aws.amazon.com/documentdb/latest/developerguide/db-cluster-modify.html) Guide.* **Nella sezione **Modifica cluster**, scegli **Abilita** la protezione da eliminazione.**
## [DocumentDB.6] I cluster Amazon DocumentDB devono essere crittografati in transito
**Categoria:** Proteggi > Protezione dei dati > Crittografia di data-in-transit
**Gravità:** media
**Tipo di risorsa:** `AWS::RDS::DBCluster`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-encrypted-in-transit.html)
**Tipo di pianificazione:** periodica
**Parametri:**`excludeTlsParameters`:`disabled`, `enabled` (non personalizzabile)
Questo controllo verifica se un cluster Amazon DocumentDB richiede TLS per le connessioni al cluster. Il controllo fallisce se il gruppo di parametri del cluster associato al cluster non è sincronizzato o se il parametro del cluster TLS è impostato su o. `disabled` `enabled`
Puoi utilizzare TLS per crittografare la connessione tra un'applicazione e un cluster Amazon DocumentDB. L'uso di TLS può aiutare a proteggere i dati dall'intercettazione mentre sono in transito tra un'applicazione e un cluster Amazon DocumentDB. La crittografia in transito per un cluster Amazon DocumentDB viene gestita utilizzando il parametro TLS nel gruppo di parametri del cluster associato al cluster. Quando la crittografia in transito è abilitata, per connettersi al cluster sono necessarie connessioni protette tramite TLS. Consigliamo di utilizzare i seguenti parametri TLS:`tls1.2+`, `tls1.3+` e. `fips-140-3`
### Correzione
Per informazioni sulla modifica delle impostazioni TLS per un cluster Amazon DocumentDB, [consulta Encrypting data in transit nella](https://docs.aws.amazon.com/documentdb/latest/developerguide/security.encryption.ssl.html) Amazon *DocumentDB* Developer Guide.
# Controlli CSPM del Security Hub per DynamoDB
Questi AWS Security Hub CSPM controlli valutano il servizio e le risorse di Amazon DynamoDB. I controlli potrebbero non essere disponibili in tutti. Regioni AWS Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [DynamoDB.1] Le tabelle DynamoDB dovrebbero scalare automaticamente la capacità in base alla domanda
**Requisiti correlati:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2(2), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5)
**Categoria: Recupero > Resilienza > Alta disponibilità**
**Gravità:** media
**Tipo di risorsa:** `AWS::DynamoDB::Table`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-autoscaling-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-autoscaling-enabled.html)
**Tipo di pianificazione:** periodica
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati validi | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| `minProvisionedReadCapacity` | Numero minimo di unità di capacità di lettura assegnate per la scalabilità automatica di DynamoDB | Numero intero | `1` Da a `40000` | Nessun valore predefinito |
| `targetReadUtilization` | Percentuale di utilizzo prevista per la capacità di lettura | Numero intero | `20` Da a `90` | Nessun valore predefinito |
| `minProvisionedWriteCapacity` | Numero minimo di unità di capacità di scrittura assegnate per la scalabilità automatica di DynamoDB | Numero intero | `1` Da a `40000` | Nessun valore predefinito |
| `targetWriteUtilization` | Percentuale di utilizzo prevista per la capacità di scrittura | Numero intero | `20` Da a `90` | Nessun valore predefinito |
Questo controllo verifica se una tabella Amazon DynamoDB è in grado di scalare la propria capacità di lettura e scrittura in base alle esigenze. Il controllo fallisce se la tabella non utilizza la modalità di capacità su richiesta o la modalità provisioning con scalabilità automatica configurata. Per impostazione predefinita, questo controllo richiede solo la configurazione di una di queste modalità, indipendentemente da livelli specifici di capacità di lettura o scrittura. Facoltativamente, è possibile fornire valori di parametri personalizzati per richiedere livelli specifici di capacità di lettura e scrittura o di utilizzo del target.
La scalabilità della capacità in base alla domanda evita le eccezioni di limitazione, il che aiuta a mantenere la disponibilità delle applicazioni. Le tabelle DynamoDB che utilizzano la modalità di capacità su richiesta sono limitate solo dalle quote di tabella predefinite del throughput di DynamoDB. Per aumentare queste quote, puoi inviare un ticket di assistenza a. Supporto Le tabelle DynamoDB che utilizzano la modalità provisioning con scalabilità automatica regolano la capacità di throughput assegnata in modo dinamico in risposta ai modelli di traffico. *Per ulteriori informazioni sulla limitazione delle richieste di DynamoDB, [consulta Request throttling and burst capacity nella Amazon DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/ProvisionedThroughput.html#ProvisionedThroughput.Throttling) Developer Guide.*
### Correzione
*Per abilitare la scalabilità automatica di DynamoDB su tabelle esistenti in modalità capacità, consulta Enabling [DynamoDB auto scaling su tabelle esistenti nella Amazon DynamoDB Developer Guide](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/AutoScaling.Console.html#AutoScaling.Console.ExistingTable).*
## [DynamoDB.2] Le tabelle DynamoDB dovrebbero avere il ripristino abilitato point-in-time
**Requisiti correlati:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-12, NIST.800-53.r5 SI-13 (5)
**Categoria**: Ripristino > Resilienza > Backup abilitati
**Gravità:** media
**Tipo di risorsa:** `AWS::DynamoDB::Table`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-pitr-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-pitr-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se il point-in-time ripristino (PITR) è abilitato per una tabella Amazon DynamoDB.
I backup consentono di ripristinare più rapidamente un incidente di sicurezza. Inoltre, rafforzano la resilienza dei sistemi. Il ripristino point-in-time DynamoDB automatizza i backup per le tabelle DynamoDB. Riduce i tempi di ripristino in seguito a operazioni di cancellazione o scrittura accidentali. Le tabelle DynamoDB con PITR abilitato possono essere ripristinate in qualsiasi momento negli ultimi 35 giorni.
### Correzione
*Per ripristinare una tabella DynamoDB in un momento specifico, consulta [Restoring a DynamoDB table to a point-in-time nella Amazon DynamoDB Developer Guide](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/PointInTimeRecovery.Tutorial.html).*
## [DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi
**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.r5 SC-2 NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-7 (6)
**Categoria: Protezione > Protezione** dei dati > Crittografia di data-at-rest
**Gravità:** media
**Tipo di risorsa:** `AWS::DAX::Cluster`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/dax-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dax-encryption-enabled.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se un cluster Amazon DynamoDB Accelerator (DAX) è crittografato a riposo. Il controllo fallisce se il cluster DAX non è crittografato a riposo.
La crittografia dei dati inattivi riduce il rischio di accesso ai dati archiviati su disco da parte di un utente non autenticato. AWS La crittografia aggiunge un altro set di controlli di accesso per limitare la capacità degli utenti non autorizzati di accedere ai dati. Ad esempio, sono necessarie le autorizzazioni API per decrittografare i dati prima che possano essere letti.
### Correzione
Non è possibile abilitare o disabilitare la crittografia a riposo dopo la creazione di un cluster. È necessario ricreare il cluster per abilitare la crittografia a riposo. Per istruzioni dettagliate su come creare un cluster DAX con la crittografia a riposo abilitata, consulta [Enabling encryption at rest using the Console di gestione AWS](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/DAXEncryptionAtRest.html#dax.encryption.tutorial-console) nella *Amazon DynamoDB Developer Guide*.
## [DynamoDB.4] Le tabelle DynamoDB devono essere presenti in un piano di backup
**Requisiti correlati:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-12, NIST.800-53.r5 SI-13 (5)
**Categoria**: Ripristino > Resilienza > Backup abilitati
**Gravità:** media
**Tipo di risorsa:** `AWS::DynamoDB::Table`
**AWS Config regola: [https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-resources-protected-by-backup-plan.html](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-resources-protected-by-backup-plan.html)**``
**Tipo di pianificazione:** periodica
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| `backupVaultLockCheck` | Il controllo restituisce un `PASSED` risultato se il parametro è impostato su `true` e la risorsa utilizza AWS Backup Vault Lock. | Booleano | `true` o `false` | Nessun valore predefinito |
Questo controllo valuta se una `ACTIVE` tabella Amazon DynamoDB in stato è coperta da un piano di backup. Il controllo fallisce se la tabella DynamoDB non è coperta da un piano di backup. Se si imposta il `backupVaultLockCheck` parametro uguale a`true`, il controllo passa solo se viene eseguito il backup della tabella DynamoDB in AWS Backup un vault bloccato.
AWS Backup è un servizio di backup completamente gestito che consente di centralizzare e automatizzare il backup dei dati in tutto il mondo. Servizi AWS Con AWS Backup, è possibile creare piani di backup che definiscono i requisiti di backup, ad esempio la frequenza con cui eseguire il backup dei dati e per quanto tempo conservare tali backup. L'inclusione delle tabelle DynamoDB nei piani di backup consente di proteggere i dati da perdite o cancellazioni involontarie.
### Correzione
*Per aggiungere una tabella DynamoDB a AWS Backup un piano di backup, [consulta Assegnazione di risorse a un piano di backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/assigning-resources.html) nella Developer Guide.AWS Backup *
## [DynamoDB.5] Le tabelle DynamoDB devono essere etichettate
**Categoria: Identificazione > Inventario > Etichettatura**
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::DynamoDB::Table`
**AWS Config regola:** `tagged-dynamodb-table` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | No default value |
Questo controllo verifica se una tabella Amazon DynamoDB contiene tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se la tabella non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro. `requiredTagKeys` Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se la tabella non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza il tagging, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
*Per aggiungere tag a una tabella DynamoDB, [consulta Tagging resources in DynamoDB nella](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/Tagging.Operations.html) Amazon DynamoDB Developer Guide.*
## [DynamoDB.6] Le tabelle DynamoDB devono avere la protezione da eliminazione abilitata
**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), (2) NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5
**Categoria:** Protezione > Protezione dei dati > Protezione dalla cancellazione dei dati
**Gravità:** media
**Tipo di risorsa:** `AWS::DynamoDB::Table`
**AWS Config regola: [https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-table-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-table-deletion-protection-enabled.html)**``
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se una tabella Amazon DynamoDB ha la protezione da eliminazione abilitata. Il controllo fallisce se una tabella DynamoDB non ha la protezione da eliminazione abilitata.
È possibile proteggere una tabella DynamoDB dall'eliminazione accidentale con la proprietà di protezione dall'eliminazione. L'attivazione di questa proprietà per le tabelle aiuta a garantire che le tabelle non vengano eliminate accidentalmente durante le normali operazioni di gestione delle tabelle da parte degli amministratori. Questo aiuta a prevenire interruzioni delle normali operazioni aziendali.
### Correzione
Per abilitare la protezione da eliminazione per una tabella DynamoDB, [consulta](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/WorkingWithTables.Basics.html#WorkingWithTables.Basics.DeletionProtection) Using delete protection nella Amazon *DynamoDB* Developer Guide.
## [DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito
**Requisiti correlati:** NIST.800-53.r5 AC-1 7, 3, 3, PCI DSS NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-1 v4.0.1/4.2.1 NIST.800-53.r5 SC-2
**Categoria: Proteggi > Protezione dei dati > Crittografia** di data-in-transit
**Gravità:** media
**Tipo di risorsa:** `AWS::DAX::Cluster`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/dax-tls-endpoint-encryption.html](https://docs.aws.amazon.com/config/latest/developerguide/dax-tls-endpoint-encryption.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se un cluster Amazon DynamoDB Accelerator (DAX) è crittografato in transito, con il tipo di crittografia degli endpoint impostato su TLS. Il controllo fallisce se il cluster DAX non è crittografato in transito.
HTTPS (TLS) può essere utilizzato per impedire a potenziali aggressori di utilizzare person-in-the-middle o attacchi simili per intercettare o manipolare il traffico di rete. È necessario consentire solo alle connessioni crittografate tramite TLS di accedere ai cluster DAX. Tuttavia, la crittografia dei dati in transito può influire sulle prestazioni. È consigliabile testare l'applicazione con la crittografia attivata per comprendere il profilo delle prestazioni e l'impatto del TLS.
### Correzione
Non è possibile modificare l'impostazione di crittografia TLS dopo aver creato un cluster DAX. Per crittografare un cluster DAX esistente, crea un nuovo cluster con la crittografia in transito abilitata, trasferisci il traffico dell'applicazione su di esso, quindi elimina il vecchio cluster. Per ulteriori informazioni, consulta [Uso della protezione da eliminazione](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/WorkingWithTables.Basics.html#WorkingWithTables.Basics.DeletionProtection) nella *Guida per gli sviluppatori di Amazon DynamoDB*.
# Controlli CSPM del Security Hub per Amazon EC2
Questi AWS Security Hub CSPM controlli valutano il servizio e le risorse Amazon Elastic Compute Cloud (Amazon EC2). I controlli potrebbero non essere disponibili tutti. Regioni AWS Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [EC2.1] Gli snapshot di Amazon EBS non devono essere ripristinabili pubblicamente
**Requisiti correlati:** PCI DSS versione 3.2.1/1.2.1, PCI DSS versione 3.2.1/1.3.1, PCI DSS versione 3.2.1/1.3.4, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7), (21), NIST.800-53.r5 AC-3, (11), (16) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (20) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
**Categoria:** Protezione > Configurazione di rete protetta
**Severità:** critica
**Tipo di risorsa:** `AWS::::Account`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ebs-snapshot-public-restorable-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ebs-snapshot-public-restorable-check.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se gli snapshot di Amazon Elastic Block Store non sono pubblici. Il controllo fallisce se gli snapshot di Amazon EBS sono ripristinabili da chiunque.
Gli snapshot EBS vengono utilizzati per eseguire il backup dei dati sui volumi EBS su Amazon S3 in un momento specifico. Puoi utilizzare gli snapshot per ripristinare gli stati precedenti dei volumi EBS. Raramente è accettabile condividere uno snapshot con il pubblico. In genere la decisione di condividere pubblicamente uno snapshot viene presa per errore o senza una completa comprensione delle implicazioni. Questo controllo consente di garantire che tale condivisione sia stata completamente pianificata ed è intenzionale.
### Correzione
Per rendere privata una snapshot EBS pubblica, consulta [Share a snapshot](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modifying-snapshot-permissions.html#share-unencrypted-snapshot) nella *Amazon* EC2 User Guide. **Per **Azioni, Modifica le autorizzazioni, scegli Privato**.**
## [EC2.2] I gruppi di sicurezza VPC predefiniti non dovrebbero consentire il traffico in entrata o in uscita
**Requisiti correlati:** benchmark CIS AWS Foundations v5.0.0/5.5, PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/2.1, benchmark CIS Foundations v1.2.0/4.3, benchmark CIS Foundations v1.4.0/5.3, benchmark CIS AWS Foundations v3.0.0/5.4,, (21), (16), (16), (16), (16), (16), (16), (16), (16), (16), (16), (16), (16), (16), (16), (16), (16), (16), (16), (16), (16), (16), (16), (16), (), (21), (4), (5) AWS AWS NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-4 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
**Categoria:** Protezione > Configurazione di rete protetta
**Gravità:** alta
**Tipo di risorsa:** `AWS::EC2::SecurityGroup`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-default-security-group-closed.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-default-security-group-closed.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se il gruppo di sicurezza predefinito di un VPC consente il traffico in entrata o in uscita. Il controllo fallisce se il gruppo di sicurezza consente il traffico in entrata o in uscita.
Le regole per il [gruppo di sicurezza predefinito](https://docs.aws.amazon.com/vpc/latest/userguide/default-security-group.html) consentono tutto il traffico in uscita e in ingresso dalle interfacce di rete (e le istanze associate) assegnate allo stesso gruppo di sicurezza. Ti consigliamo di non utilizzare il gruppo di sicurezza predefinito. Poiché il gruppo di sicurezza predefinito non può essere eliminato, è necessario modificare l'impostazione delle regole di gruppo di sicurezza predefinito per limitare il traffico in ingresso e in uscita. Ciò impedisce il traffico non intenzionale se il gruppo di sicurezza predefinito viene configurato accidentalmente per risorse come le istanze EC2.
### Correzione
Per risolvere questo problema, inizia creando nuovi gruppi di sicurezza con privilegi minimi. Per istruzioni, consulta [Creare un gruppo di sicurezza](https://docs.aws.amazon.com/vpc/latest/userguide/security-groups.html#creating-security-groups) nella *Amazon VPC User* Guide. Quindi, assegna i nuovi gruppi di sicurezza alle tue istanze EC2. Per istruzioni, consulta [Modificare il gruppo di sicurezza di un'istanza](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#changing-security-group) nella Guida per l'*utente di Amazon EC2*.
Dopo aver assegnato i nuovi gruppi di sicurezza alle tue risorse, rimuovi tutte le regole in entrata e in uscita dai gruppi di sicurezza predefiniti. Per istruzioni, consulta [Configurare le regole dei gruppi di sicurezza](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-security-group-rules.html) nella *Amazon VPC User Guide*.
## [EC2.3] I volumi Amazon EBS collegati devono essere crittografati a riposo
**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-7 (6)
**Categoria: Protezione > Protezione** dei dati > Crittografia di data-at-rest
**Gravità:** media
**Tipo di risorsa:** `AWS::EC2::Volume`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se i volumi EBS che si trovano in uno stato collegato sono crittografati. Per superare questo controllo, i volumi EBS devono essere in uso e crittografati. Se il volume EBS non è collegato, non è destinato a questo controllo.
Per un ulteriore livello di sicurezza dei dati sensibili nei volumi EBS, è necessario abilitare la crittografia EBS dei dati inattivi. La crittografica Amazon EBS offre una soluzione di crittografia semplice per le risorse EBS che non richiede di creare, mantenere e proteggere la propria infrastruttura di gestione delle chiavi. Utilizza le chiavi KMS per la creazione di volumi e istantanee crittografati.
Per ulteriori informazioni sulla crittografia Amazon EBS, consulta [Amazon EBS encryption](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html) nella *Amazon EC2* User Guide.
### Correzione
Non esiste un modo diretto per crittografare un volume o uno snapshot non crittografato esistente. È possibile crittografare un nuovo volume o snapshot solo quando viene creato.
Se hai abilitato la crittografia per impostazione predefinita, Amazon EBS crittografa il nuovo volume o snapshot risultante utilizzando la tua chiave predefinita per la crittografia Amazon EBS. Anche se non la crittografia non è abilitata per impostazione predefinita, è possibile abilitare la crittografia al momento della creazione di uno specifico volume o snapshot. In entrambi i casi, puoi sostituire la chiave predefinita per la crittografia Amazon EBS e scegliere una chiave simmetrica gestita dal cliente.
*Per ulteriori informazioni, consulta [Creare un volume Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-creating-volume.html) e [Copiare uno snapshot Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-copy-snapshot.html) nella Guida per l'utente di Amazon EC2.*
## [EC2.4] Le istanze EC2 arrestate devono essere rimosse dopo un periodo di tempo specificato
**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2 (2)
**Categoria:** Identificazione > Inventario
**Gravità:** media
**Tipo di risorsa:** `AWS::EC2::Instance`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-stopped-instance.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-stopped-instance.html)
**Tipo di pianificazione:** periodica
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| `AllowedDays` | Numero di giorni in cui l'istanza EC2 può rimanere in uno stato di arresto prima della generazione di un risultato non riuscito. | Numero intero | `1` Da a `365` | `30` |
Questo controllo verifica se un'istanza Amazon EC2 è stata interrotta per un periodo superiore al numero di giorni consentito. Il controllo fallisce se un'istanza EC2 viene interrotta per un periodo di tempo superiore al periodo di tempo massimo consentito. A meno che non si fornisca un valore di parametro personalizzato per il periodo di tempo massimo consentito, Security Hub CSPM utilizza un valore predefinito di 30 giorni.
Quando un'istanza EC2 non viene eseguita per un periodo di tempo significativo, crea un rischio per la sicurezza perché l'istanza non viene gestita attivamente (analizzata, corretta, aggiornata). Se viene avviata in un secondo momento, la mancanza di una manutenzione adeguata potrebbe causare problemi imprevisti nell'ambiente AWS . Per mantenere in modo sicuro un'istanza EC2 nel tempo in uno stato inattivo, avviala periodicamente per la manutenzione e poi interrompila dopo la manutenzione. Idealmente, questo dovrebbe essere un processo automatizzato.
### Correzione
*Per terminare un'istanza EC2 inattiva, consulta [Terminare un'](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/terminating-instances.html#terminating-instances-console)istanza nella Amazon EC2 User Guide.*
## [EC2.6] La registrazione del flusso in VPC deve essere abilitata in tutti i casi VPCs
**Requisiti correlati:** benchmark CIS AWS Foundations v5.0.0/3.7, benchmark CIS Foundations v1.2.0/2.9, benchmark CIS AWS Foundations v1.4.0/3.9, benchmark CIS AWS Foundations v3.0.0/3.7, NIST.800-53.r5 AC-4 (26), NIST.800-53.r5 SI-7 (8), NIST.800-171.r2 3.1.20, nIST.800-171.r2 3.3.1, nIST AWS . IST.800-171.r2 3.13.1, PCI DSS versione 3.2.1/10.3.3 NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, PCI DSS versione 3.2.1/10.3.4, PCI DSS versione 3.2.1/10.3.5, PCI DSS versione 3.2.1/10.3.6
**Categoria:** Identificazione > Registrazione
**Gravità:** media
**Tipo di risorsa:** `AWS::EC2::VPC`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-flow-logs-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-flow-logs-enabled.html)
**Tipo di pianificazione:** periodica
**Parametri:**
+ `trafficType`: `REJECT` (non personalizzabile)
Questo controllo verifica se i log di flusso di Amazon VPC sono stati trovati e abilitati. VPCs Il tipo di traffico è impostato su. `Reject` Il controllo fallisce se i log di flusso VPC non sono abilitati VPCs nel tuo account.
**Nota**
Questo controllo non verifica se i log di flusso di Amazon VPC sono abilitati tramite Amazon Security Lake per. Account AWS
Con la funzione VPC Flow Logs, puoi acquisire informazioni sul traffico di indirizzi IP che va e viene dalle interfacce di rete nel tuo VPC. Dopo aver creato un log di flusso, puoi visualizzarne e recuperarne i dati in Logs. CloudWatch Per ridurre i costi, puoi anche inviare i log di flusso ad Amazon S3.
Security Hub CSPM consiglia di abilitare la registrazione del flusso per i pacchetti rifiutati per. VPCs I log di flusso forniscono visibilità sul traffico di rete che attraversa il VPC e possono rilevare traffico anomalo o fornire informazioni durante i flussi di lavoro di sicurezza.
Per impostazione predefinita, il record include i valori per i diversi componenti del flusso di indirizzi IP, tra cui origine, destinazione e protocollo. Per ulteriori informazioni e descrizioni dei campi di log, consulta [VPC Flow Logs](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) nella Amazon *VPC* User Guide.
### Correzione
Per creare un log di flusso VPC, consulta [Create a Flow Log](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-flow-logs.html#create-flow-log) nella Amazon *VPC* User Guide. **Dopo aver aperto la console Amazon VPC, scegli Your. VPCs** **Per **Filtro**, scegli **Rifiuta o Tutto**.**
## [EC2.7] La crittografia predefinita di EBS deve essere abilitata
**Requisiti correlati:** CIS AWS Foundations Benchmark v5.0.0/5.1.1, CIS Foundations Benchmark v1.4.0/2.2.1, CIS AWS Foundations Benchmark v3.0.0/2.2.1, (1), 3, 8 (1), (10), NIST.800-53.r5 SI-7 (6) AWS NIST.800-53.r5 CA-9 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-7
**Categoria**: Protezione > Protezione dei dati > Crittografia di data-at-rest
**Gravità:** media
**Tipo di risorsa:** `AWS::::Account`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-ebs-encryption-by-default.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-ebs-encryption-by-default.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se la crittografia a livello di account è abilitata per impostazione predefinita per i volumi Amazon Elastic Block Store (Amazon EBS). Il controllo fallisce se la crittografia a livello di account non è abilitata per i volumi EBS.
Quando la crittografia è abilitata per il tuo account, i volumi Amazon EBS e le copie degli snapshot vengono crittografati quando sono inattivi. Ciò aggiunge un ulteriore livello di protezione per i tuoi dati. Per ulteriori informazioni, consulta la sezione [Encryption by default](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default) nella *Guida per l’utente di Amazon EC2*.
### Correzione
Per configurare la crittografia predefinita per i volumi Amazon EBS, consulta [Encryption by default](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default) nella *Amazon EC2* User Guide.
## [EC2.8] Le istanze EC2 devono utilizzare Instance Metadata Service versione 2 () IMDSv2
**Requisiti correlati:** CIS AWS Foundations Benchmark v5.0.0/5.7, CIS Foundations Benchmark v3.0.0/5.6, (15), ( AWS 7), PCI DSS v4.0.1/2.2.6 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6
**Categoria**: Protezione > Sicurezza di rete
**Gravità:** alta
**Tipo di risorsa:** `AWS::EC2::Instance`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-imdsv2-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-imdsv2-check.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se la versione dei metadati dell'istanza EC2 è configurata con Instance Metadata Service versione 2 (). IMDSv2 Il controllo passa se `HttpTokens` è impostato su required for. IMDSv2 Il controllo ha esito negativo se `HttpTokens` è impostato su`optional`.
I metadati dell'istanza vengono utilizzati per configurare o gestire l'istanza in esecuzione. L'IMDS fornisce l'accesso a credenziali temporanee, che vengono ruotate frequentemente. Queste credenziali eliminano la necessità di codificare o distribuire credenziali riservate alle istanze manualmente o programmaticamente. L'IMDS è collegato localmente a ogni istanza EC2. Funziona su uno speciale indirizzo IP «link local» 169.254.169.254. Questo indirizzo IP è accessibile solo dal software in esecuzione sull'istanza.
La versione 2 dell'IMDS aggiunge nuove protezioni per i seguenti tipi di vulnerabilità. Queste vulnerabilità potrebbero essere utilizzate per tentare di accedere all'IMDS.
+ Apri i firewall delle applicazioni del sito Web
+ Apri proxy inversi
+ Vulnerabilità SSRF (Server-side Request Forgery)
+ Firewall Open Layer 3 e NAT (Network Address Translation)
Security Hub CSPM consiglia di configurare le istanze EC2 con. IMDSv2
### Correzione
Per configurare le istanze EC2 con IMDSv2, consulta il [percorso consigliato per la richiesta IMDSv2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-metadata-transition-to-version-2.html#recommended-path-for-requiring-imdsv2) nella *Amazon EC2* User Guide.
## [EC2.9] Le istanze Amazon EC2 non devono avere un indirizzo pubblico IPv4
**Requisiti correlati:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7 (11) NIST.800-53.r5 SC-7, (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7
**Categoria:** Protezione > Configurazione di rete sicura > Risorse non accessibili al pubblico
**Gravità:** alta
**Tipo di risorsa:** `AWS::EC2::Instance`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-no-public-ip.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-no-public-ip.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se le istanze EC2 hanno un indirizzo IP pubblico. Il controllo fallisce se il `publicIp` campo è presente nell'elemento di configurazione dell'istanza EC2. Questo controllo si applica solo agli IPv4 indirizzi.
Un indirizzo IPv4 pubblico è un indirizzo IP raggiungibile da Internet. Se avvii l'istanza con un indirizzo IP pubblico, l'istanza EC2 è raggiungibile da Internet. Un indirizzo IPv4 privato è un indirizzo IP non raggiungibile da Internet. Puoi utilizzare indirizzi IPv4 privati per la comunicazione tra istanze EC2 nello stesso VPC o nella tua rete privata connessa.
IPv6 gli indirizzi sono unici a livello globale e quindi sono raggiungibili da Internet. Tuttavia, per impostazione predefinita, tutte le sottoreti hanno l'attributo di IPv6 indirizzamento impostato su false. Per ulteriori informazioni IPv6, consulta la sezione [Indirizzamento IP nel tuo VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-ip-addressing.html) nella Amazon *VPC* User Guide.
Se hai un caso d'uso legittimo per mantenere istanze EC2 con indirizzi IP pubblici, puoi eliminare i risultati di questo controllo. Per ulteriori informazioni sulle opzioni di architettura front-end, consulta l'[AWS Architecture Blog](https://aws.amazon.com/blogs/architecture/) o la serie di video della serie [This Is My](https://aws.amazon.com/this-is-my-architecture/?tma.sort-by=item.additionalFields.airDate&tma.sort-order=desc&awsf.category=categories%23mobile) Architecture. AWS
### Correzione
Utilizza un VPC non predefinito in modo che all'istanza non venga assegnato un indirizzo IP pubblico per impostazione predefinita.
Quando avvii un'istanza EC2 in un VPC predefinito, a essa viene assegnato un indirizzo IP pubblico. Quando avvii un'istanza EC2 in un VPC non predefinito, la configurazione della sottorete determina se riceve un indirizzo IP pubblico. La sottorete dispone di un attributo per determinare se le nuove istanze EC2 nella sottorete ricevono un indirizzo IP pubblico dal pool di indirizzi pubblici. IPv4
Puoi dissociare un indirizzo IP pubblico assegnato automaticamente dalla tua istanza EC2. Per ulteriori informazioni, [ IPv4 consulta Indirizzi pubblici e nomi host DNS esterni](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-instance-addressing.html#concepts-public-addresses) nella Guida per l'utente di *Amazon EC2*.
## [EC2.10] Amazon EC2 deve essere configurato per utilizzare endpoint VPC creati per il servizio Amazon EC2
**Requisiti correlati:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (11), (16) NIST.800-53.r5 AC-6, (20) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-171.r2 3.1.3, NIST.800-53.r5 SC-7 NIST.800-171.r2 3.13.1
**Categoria**: Protezione > Configurazione di rete sicura > Accesso privato API
**Gravità:** media
**Tipo di risorsa:** `AWS::EC2::VPC`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/service-vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/service-vpc-endpoint-enabled.html)
**Tipo di pianificazione:** periodica
**Parametri:**
+ `serviceName`: `ec2` (non personalizzabile)
Questo controllo verifica se viene creato un endpoint di servizio per Amazon EC2 per ogni VPC. Il controllo fallisce se un VPC non dispone di un endpoint VPC creato per il servizio Amazon EC2.
Questo controllo valuta le risorse in un unico account. Non può descrivere risorse esterne all'account. Poiché AWS Config Security Hub CSPM non effettua controlli su più account, ne vedrai `FAILED` i risultati condivisi tra VPCs gli account. Security Hub CSPM consiglia di eliminare questi risultati. `FAILED`
Per migliorare il livello di sicurezza del tuo VPC, puoi configurare Amazon EC2 per utilizzare un endpoint VPC di interfaccia. Gli endpoint di interfaccia sono basati su una tecnologia che consente di accedere alle operazioni delle API di Amazon EC2 in modo privato. AWS PrivateLink Limita tutto il traffico di rete tra il tuo VPC e Amazon EC2 alla rete Amazon. Poiché gli endpoint sono supportati solo all'interno della stessa regione, non è possibile creare un endpoint tra un VPC e un servizio in una regione diversa. In questo modo si evitano chiamate involontarie all'API Amazon EC2 verso altre regioni.
*Per ulteriori informazioni sulla creazione di endpoint VPC per Amazon EC2, consulta Amazon EC2 [e interfaccia gli endpoint VPC nella Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/interface-vpc-endpoints.html) User Guide.*
### Correzione
*Per creare un endpoint di interfaccia verso Amazon EC2 dalla console Amazon VPC, consulta [Creare un endpoint VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws) nella Guida.AWS PrivateLink * **Per il nome del **servizio**, scegli com.amazonaws. *region*.ec2.**
Puoi anche creare e allegare una policy per gli endpoint al tuo endpoint VPC per controllare l'accesso all'API Amazon EC2. *Per istruzioni sulla creazione di una policy per gli endpoint VPC, consulta [Create an endpoint policy](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/interface-vpc-endpoints.html#endpoint-policy) nella Amazon EC2 User Guide.*
## [EC2.12] Amazon EC2 non utilizzato deve essere rimosso EIPs
**Requisiti correlati:** PCI DSS v3.2.1/2.4, NIST.800-53.r5 CM-8 (1)
**Categoria:** Protezione > Configurazione di rete protetta
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::EC2::EIP`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/eip-attached.html](https://docs.aws.amazon.com/config/latest/developerguide/eip-attached.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se gli indirizzi IP elastici (EIP) allocati a un VPC sono collegati a istanze EC2 o a interfacce di rete elastiche in uso (). ENIs
Un risultato non riuscito indica che potresti avere EC2 inutilizzato. EIPs
Questo vi aiuterà a mantenere un inventario accurato degli asset EIPs presenti nel vostro ambiente di dati dei titolari di carta (CDE).
### Correzione
Per rilasciare un EIP inutilizzato, consulta [Release an Elastic IP address](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/elastic-ip-addresses-eip.html#using-instance-addressing-eips-releasing) nella *Amazon EC2* User Guide.
## [EC2.13] I gruppi di sicurezza non devono consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 22
**Requisiti correlati:** CIS AWS Foundations Benchmark v1.2.0/4.1, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4, (11), (16) NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5), NIST.800-53.r5 SC-7 NIST.800-171.r2 3.1.3, NIST.800-171.r2 3.13.1, PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.2.2, PCI DSS versione 4.0.1/1.3.1 NIST.800-53.r5 SC-7
**Categoria:** Protezione > Configurazione di rete protetta
**Gravità:** alta
**Tipo di risorsa:** `AWS::EC2::SecurityGroup`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/restricted-ssh.html](https://docs.aws.amazon.com/config/latest/developerguide/restricted-ssh.html)
**Tipo di pianificazione:** modifica attivata e periodica
**Parametri:** nessuno
Questo controllo verifica se un gruppo di sicurezza Amazon EC2 consente l'ingresso da 0.0.0.0/0 o: :/0 alla porta 22. Il controllo fallisce se il gruppo di sicurezza consente l'ingresso da 0.0.0.0/0 o: :/0 alla porta 22.
I gruppi di sicurezza forniscono filtraggio stateful del traffico di rete in entrata e in uscita a risorse AWS . È opportuno che nessun gruppo di sicurezza consenta accesso di entratata illimitato alla porta 22. La rimozione di connettività senza alcuna restrizione a servizi della console remota, ad esempio SSH, riduce l'esposizione di un server ai rischi.
### Correzione
Per vietare l'accesso alla porta 22, rimuovi la regola che consente tale accesso per ogni gruppo di sicurezza associato a un VPC. Per istruzioni, consulta [Aggiornare le regole dei gruppi di sicurezza](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#updating-security-group-rules) nella Guida per l'*utente di Amazon EC2*. Dopo aver selezionato un gruppo di sicurezza nella console Amazon EC2, scegli **Azioni, Modifica regole in entrata**. Rimuovi la regola che consente l'accesso alla porta 22.
## [EC2.14] I gruppi di sicurezza non dovrebbero consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 3389
Requisiti **correlati**: CIS Foundations Benchmark v1.2.0/4.2, PCI DSS v4.0.1/1.3.1 AWS
**Categoria:** Protezione > Configurazione di rete protetta
**Gravità:** alta
**Tipo di risorsa:** `AWS::EC2::SecurityGroup`
**AWS Config regola: [https://docs.aws.amazon.com/config/latest/developerguide/restricted-common-ports.html](https://docs.aws.amazon.com/config/latest/developerguide/restricted-common-ports.html)**(la regola creata è`restricted-rdp`)
**Tipo di pianificazione:** modifica attivata e periodica
**Parametri:** nessuno
Questo controllo verifica se un gruppo di sicurezza Amazon EC2 consente l'ingresso da 0.0.0.0/0 o: :/0 alla porta 3389. Il controllo fallisce se il gruppo di sicurezza consente l'ingresso da 0.0.0.0/0 o: :/0 alla porta 3389.
I gruppi di sicurezza forniscono filtraggio stateful del traffico di rete in entrata e in uscita a risorse AWS . È opportuno che nessun gruppo di sicurezza consenta accesso di entrata illimitato alla porta 3389. La rimozione di connettività senza alcuna restrizione a servizi della console remota, ad esempio RDP, riduce l'esposizione di un server ai rischi.
### Correzione
Per vietare l'accesso alla porta 3389, rimuovi la regola che consente tale accesso per ogni gruppo di sicurezza associato a un VPC. Per istruzioni, consulta [Aggiornare le regole dei gruppi di sicurezza](https://docs.aws.amazon.com/vpc/latest/userguide/security-group-rules.html#updating-security-group-rules) nella *Amazon VPC User Guide*. Dopo aver selezionato un gruppo di sicurezza nella console Amazon VPC, scegli **Azioni, Modifica regole in entrata**. Rimuovi la regola che consente l'accesso alla porta 3389.
## [EC2.15] Le sottoreti Amazon EC2 non devono assegnare automaticamente indirizzi IP pubblici
**Requisiti correlati:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), (21) NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9), PCI DSS NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 v4.0.1/1.4.4
**Categoria**: Proteggi > Sicurezza di rete
**Gravità:** media
**Tipo di risorsa:** `AWS::EC2::Subnet`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/subnet-auto-assign-public-ip-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/subnet-auto-assign-public-ip-disabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se una sottorete Amazon Virtual Private Cloud (Amazon VPC) è configurata per l'assegnazione automatica di indirizzi IP pubblici. Il controllo fallisce se la sottorete è configurata per l'assegnazione automatica di indirizzi pubblici o. IPv4 IPv6
Le sottoreti dispongono di attributi che determinano se le interfacce di rete ricevono automaticamente indirizzi e indirizzi pubblici. IPv4 IPv6 Infatti IPv4, questo attributo è impostato su `TRUE` per le sottoreti predefinite e `FALSE` per le sottoreti non predefinite (ad eccezione delle sottoreti non predefinite create tramite la procedura guidata di avvio dell'istanza EC2, dove è impostato su). `TRUE` Per impostazione predefinita IPv6, questo attributo è impostato su per tutte le sottoreti. `FALSE` Quando questi attributi sono abilitati, le istanze avviate nella sottorete ricevono automaticamente gli indirizzi IP (IPv4 o IPv6) corrispondenti sulla loro interfaccia di rete principale.
### Correzione
Per configurare una sottorete in modo che non assegni indirizzi IP pubblici, consulta [Modificare gli attributi di indirizzo IP della sottorete](https://docs.aws.amazon.com/vpc/latest/userguide/subnet-public-ip.html) nella Amazon *VPC* User Guide.
## [EC2.16] Le liste di controllo degli accessi alla rete non utilizzate devono essere rimosse
**Requisiti correlati:** NIST.800-53.r5 CM-8 (1), NIST.800-171.r2 3.4.7, PCI DSS v4.0.1/1.2.7
**Categoria**: Protezione > Sicurezza di rete
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::EC2::NetworkAcl`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-network-acl-unused-check.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-network-acl-unused-check.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se ci sono elenchi di controllo degli accessi alla rete (rete ACLs) non utilizzati nel tuo cloud privato virtuale (VPC). Il controllo fallisce se l'ACL di rete non è associato a una sottorete. Il controllo non genera risultati per un ACL di rete predefinito non utilizzato.
Il controllo verifica la configurazione degli elementi della risorsa `AWS::EC2::NetworkAcl` e determina le relazioni dell'ACL di rete.
Se l'unica relazione è il VPC dell'ACL di rete, il controllo fallisce.
Se sono elencate altre relazioni, il controllo passa.
### Correzione
Per istruzioni sull'eliminazione di un ACL di rete non utilizzato, consulta [Eliminazione di un ACL di rete nella *Amazon* VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html#DeleteNetworkACL) User Guide. Non puoi eliminare l'ACL di rete predefinito o un ACL associato alle sottoreti.
## [EC2.17] Le istanze Amazon EC2 non devono utilizzare più istanze ENIs
**Requisiti correlati**: (21) NIST.800-53.r5 AC-4
**Categoria:** Proteggi > Sicurezza di rete
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::EC2::Instance`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-multiple-eni-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-multiple-eni-check.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un'istanza EC2 utilizza più Elastic Network Interface (ENI) o Elastic Fabric Adapters (EFA). Questo controllo passa se viene utilizzata una singola scheda di rete. Il controllo include un elenco di parametri opzionale per identificare gli ENI consentiti. Questo controllo fallisce anche se un'istanza EC2 appartenente a un cluster Amazon EKS utilizza più di un ENI. Se le tue istanze EC2 devono avere più istanze ENIs come parte di un cluster Amazon EKS, puoi eliminare tali risultati di controllo.
Più istanze ENIs possono causare istanze dual-homed, ossia istanze con più sottoreti. Ciò può aumentare la complessità della sicurezza della rete e introdurre percorsi e accessi di rete indesiderati.
### Correzione
Per scollegare un'interfaccia di rete da un'istanza EC2, consulta [Scollegare un'interfaccia di rete da un'istanza](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html#detach_eni) nella *Amazon* EC2 User Guide.
## [EC2.18] I gruppi di sicurezza devono consentire il traffico in entrata senza restrizioni solo per le porte autorizzate
**Requisiti correlati:** NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), (11), (16) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (5), NIST.800-53.r5 SC-7 NIST.800-171.r2 3.1.3, NIST.800-53.r5 SC-7 NIST.800-171.r2 3.1.20, NIST.800-171.r2 3.13.1
**Categoria**: Protezione > Configurazione di rete sicura > Configurazione del gruppo di sicurezza
**Gravità:** alta
**Tipo di risorsa:** `AWS::EC2::SecurityGroup`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-open-only-to-authorized-ports.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-open-only-to-authorized-ports.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| `authorizedTcpPorts` | Elenco delle porte TCP autorizzate | IntegerList (minimo 1 elemento e massimo 32 elementi) | `1` Da a `65535` | `[80,443]` |
| `authorizedUdpPorts` | Elenco delle porte UDP autorizzate | IntegerList (minimo 1 articolo e massimo 32 articoli) | `1` Da a `65535` | Nessun valore predefinito |
Questo controllo verifica se un gruppo di sicurezza Amazon EC2 consente il traffico in entrata senza restrizioni da porte non autorizzate. Lo stato del controllo è determinato come segue:
+ Se si utilizza il valore predefinito per`authorizedTcpPorts`, il controllo ha esito negativo se il gruppo di sicurezza consente il traffico in entrata senza restrizioni da qualsiasi porta diversa dalle porte 80 e 443.
+ Se fornisci valori personalizzati per `authorizedTcpPorts` o`authorizedUdpPorts`, il controllo ha esito negativo se il gruppo di sicurezza consente il traffico in entrata senza restrizioni da qualsiasi porta non elencata.
I gruppi di sicurezza forniscono un filtraggio statico del traffico di rete in ingresso e in uscita verso. AWS Le regole dei gruppi di sicurezza devono seguire il principio dell'accesso con privilegi minimi. L'accesso illimitato (indirizzo IP con suffisso /0) aumenta la possibilità di attività dannose come pirateria informatica, denial-of-service attacchi e perdita di dati. A meno che una porta non sia espressamente consentita, la porta dovrebbe negare l'accesso illimitato.
### Correzione
Per modificare un gruppo di sicurezza, consulta [Work with security groups](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-security-groups.html) nella *Amazon VPC User* Guide.
## [EC2.19] I gruppi di sicurezza non devono consentire l'accesso illimitato alle porte ad alto rischio
**Requisiti correlati:** NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), (1), NIST.800-53.r5 CA-9 (11), (16) NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (5), NIST.800-53.r5 SC-7 NIST.800-171.r2 3.1.3, NIST.800-53.r5 SC-7 NIST.800-171.r2 3.1.20, NIST.800-171.r2 3.13.1
**Categoria**: Proteggi > Accesso limitato alla rete
**Severità:** critica
**Tipo di risorsa:** `AWS::EC2::SecurityGroup`
**AWS Config regola: [https://docs.aws.amazon.com/config/latest/developerguide/restricted-common-ports.html](https://docs.aws.amazon.com/config/latest/developerguide/restricted-common-ports.html)**(la regola creata è`vpc-sg-restricted-common-ports`)
**Tipo di pianificazione:** modifica attivata e periodica
**Parametri:** `"blockedPorts": "20,21,22,23,25,110,135,143,445,1433,1434,3000,3306,3389,4333,5000,5432,5500,5601,8080,8088,8888,9200,9300"` (non personalizzabile)
Questo controllo verifica se il traffico in entrata senza restrizioni per un gruppo di sicurezza Amazon EC2 è accessibile alle porte specificate considerate ad alto rischio. Questo controllo ha esito negativo se una delle regole di un gruppo di sicurezza consente il traffico in ingresso da '0.0.0.0/0' o ': :/0' verso tali porte.
I gruppi di sicurezza forniscono filtraggio stateful del traffico di rete in entrata e in uscita a risorse AWS . L'accesso senza restrizioni (0.0.0.0/0) aumenta le opportunità di attività dannose, come pirateria informatica, attacchi e perdita di dati. denial-of-service Nessun gruppo di sicurezza dovrebbe consentire l'accesso illimitato in ingresso alle seguenti porte:
+ 20, 21 (FTP)
+ 22 (SSH)
+ 23 (Telnet)
+ 25 (SMTP)
+ 10 () POP3
+ 135 (RPC)
+ 143 (IMAP)
+ 445 (CIF)
+ 1433, 1434 (SQL)
+ 3000 (framework di sviluppo web Go, Node.js e Ruby)
+ 3306 (MySQL)
+ 3389 (RDP)
+ 4333 (ahsp)
+ 5000 (framework di sviluppo web in Python)
+ 5432 (postgresql)
+ 5500 (1) fcp-addr-srvr
+ 5601 (Cruscotti) OpenSearch
+ 8080 (proxy)
+ 8088 (porta HTTP precedente)
+ 8888 (porta HTTP alternativa)
+ 9200 o 9300 () OpenSearch
### Correzione
Per eliminare le regole da un gruppo di sicurezza, consulta [Eliminare le regole da un gruppo di sicurezza](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#deleting-security-group-rule) nella Guida per l'*utente di Amazon EC2*.
## [EC2.20] Entrambi i tunnel VPN per una connessione AWS Site-to-Site VPN devono essere attivi
**Requisiti correlati:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5), NIST.800-171.r2 3.1.13, NIST.800-171.r2 3.1.20
**Categoria**: Recupero > Resilienza > Alta disponibilità
**Gravità:** media
**Tipo di risorsa:** `AWS::EC2::VPNConnection`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-vpn-2-tunnels-up.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-vpn-2-tunnels-up.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Un tunnel VPN è un collegamento crittografato in cui i dati possono passare dalla rete del cliente a o dall' AWS interno di una connessione AWS Site-to-Site VPN. Ogni connessione VPN include due tunnel VPN che è possibile utilizzare contemporaneamente per una disponibilità elevata. Garantire che entrambi i tunnel VPN siano attivi per una connessione VPN è importante per confermare una connessione sicura e ad alta disponibilità tra un AWS VPC e la rete remota.
Questo controllo verifica che entrambi i tunnel VPN forniti dalla AWS Site-to-Site VPN abbiano lo stato UP. Il controllo fallisce se uno o entrambi i tunnel sono in stato INATTIVO.
### Correzione
Per modificare le opzioni del tunnel VPN, consulta [Modificare le opzioni del tunnel Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/modify-vpn-tunnel-options.html) nella Guida per l'utente AWS Site-to-Site VPN.
## [EC2.21] La rete non ACLs dovrebbe consentire l'ingresso dalla porta 0.0.0.0/0 alla porta 22 o alla porta 3389
**Requisiti correlati:** benchmark CIS AWS Foundations versione 5.0.0/5.2, benchmark CIS AWS Foundations versione 1.4.0/5.1, benchmark CIS AWS Foundations versione 3.0.0/5.1, (21), (21), NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 SC-7 (5), NIST.800-53.r5 CA-9 NIST.800-171.r2 3.1.3, NIST.800-171.r2 3.13.1, PCI DSS 4,0,1/1,31 NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
**Categoria:** Protezione > Configurazione di rete sicura
**Gravità:** media
**Tipo di risorsa:** `AWS::EC2::NetworkAcl`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/nacl-no-unrestricted-ssh-rdp.html](https://docs.aws.amazon.com/config/latest/developerguide/nacl-no-unrestricted-ssh-rdp.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se una lista di controllo degli accessi alla rete (Network ACL) consente l'accesso illimitato alle porte TCP predefinite per il traffico in ingresso. SSH/RDP Il controllo fallisce se la voce ACL di rete in ingresso consente un blocco CIDR di origine di '0.0.0.0/0' o ': :/0' per le porte TCP 22 o 3389. Il controllo non genera risultati per un ACL di rete predefinito.
L'accesso alle porte di amministrazione del server remoto, come la porta 22 (SSH) e la porta 3389 (RDP), non dovrebbe essere accessibile al pubblico, in quanto ciò potrebbe consentire l'accesso non intenzionale alle risorse all'interno del tuo VPC.
### Correzione
Per modificare le regole del traffico ACL di rete, consulta [Work with network ACLs](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html#nacl-tasks) nella *Amazon VPC* User Guide.
## [EC2.22] I gruppi di sicurezza Amazon EC2 non utilizzati devono essere rimossi
**Categoria:** Identificazione > Inventario
**Gravità:** media
**Tipo di risorsa:,** `AWS::EC2::NetworkInterface` `AWS::EC2::SecurityGroup`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-security-group-attached-to-eni-periodic.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-security-group-attached-to-eni-periodic.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se i gruppi di sicurezza sono collegati a istanze Amazon Elastic Compute Cloud (Amazon EC2) o a un'interfaccia di rete elastica. Il controllo fallisce se il gruppo di sicurezza non è associato a un'istanza Amazon EC2 o a un'interfaccia di rete elastica.
**Importante**
Il 20 settembre 2023, Security Hub CSPM ha rimosso questo controllo dagli standard AWS Foundational Security Best Practices e NIST SP 800-53 Revision 5. Questo controllo continua a far parte dello standard di gestione dei servizi. AWS Control Tower Questo controllo produce un risultato positivo se i gruppi di sicurezza sono collegati a istanze EC2 o a un'interfaccia di rete elastica. Tuttavia, in alcuni casi d'uso, i gruppi di sicurezza non collegati non rappresentano un rischio per la sicurezza. Puoi utilizzare altri controlli EC2, come EC2.2, EC2.13, EC2.14, EC2.18 ed EC2.19, per monitorare i tuoi gruppi di sicurezza.
### Correzione
Per creare, assegnare ed eliminare gruppi di sicurezza, consulta la sezione [Gruppi di sicurezza per le istanze EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-security-groups.html) nella *Amazon* EC2 User Guide.
## [EC2.23] I gateway di transito Amazon EC2 non devono accettare automaticamente le richieste di allegati VPC
**Requisiti correlati:** NIST.800-53.r5 AC-4 (21), (1), NIST.800-53.r5 NIST.800-53.r5 CA-9 CM-2
**Categoria:** Protezione > Configurazione di rete protetta
**Gravità:** alta
**Tipo di risorsa:** `AWS::EC2::TransitGateway`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-transit-gateway-auto-vpc-attach-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-transit-gateway-auto-vpc-attach-disabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se i gateway di transito EC2 accettano automaticamente allegati VPC condivisi. Questo controllo non riesce per un gateway di transito che accetta automaticamente richieste di allegati VPC condivise.
L'attivazione `AutoAcceptSharedAttachments` configura un gateway di transito per accettare automaticamente qualsiasi richiesta di allegati VPC tra account senza verificare la richiesta o l'account da cui proviene l'allegato. Per seguire le migliori pratiche di autorizzazione e autenticazione, consigliamo di disattivare questa funzionalità per garantire che vengano accettate solo le richieste di allegati VPC autorizzate.
### Correzione
Per modificare un gateway di transito, consulta [Modificare un gateway di transito](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html#tgw-modifying) nella Amazon VPC Developer Guide.
## [EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati
**Requisiti correlati:** NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2 (2)
**Categoria**: Identificazione > Gestione di vulnerabilità, patch e versioni
**Gravità:** media
**Tipo di risorsa:** `AWS::EC2::Instance`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-paravirtual-instance-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-paravirtual-instance-check.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se il tipo di virtualizzazione di un'istanza EC2 è paravirtuale. Il controllo fallisce se l'istanza EC2 è `virtualizationType` impostata su. `paravirtual`
Linux Amazon Machine Images (AMIs) utilizza uno dei due tipi di virtualizzazione: paravirtuale (PV) o macchina virtuale hardware (HVM). Le principali differenze tra PV e HVM AMIs sono il modo in cui si avviano e se possono sfruttare estensioni hardware speciali (CPU, rete e storage) per prestazioni migliori.
Storicamente, gli ospiti PV avevano prestazioni migliori rispetto agli ospiti HVM in molti casi, ma a causa dei miglioramenti nella virtualizzazione HVM e della disponibilità di driver FV per HVM, questo non è più vero. AMIs Per ulteriori informazioni, consulta i [tipi di virtualizzazione delle AMI Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/virtualization_types.html) nella Guida per l'utente di Amazon EC2.
### Correzione
Per aggiornare un'istanza EC2 a un nuovo tipo di istanza, consulta [Cambia il tipo di istanza](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-resize.html) nella *Amazon EC2* User Guide.
## [EC2.25] I modelli di lancio di Amazon EC2 non devono IPs assegnare interfacce di rete pubbliche
**Requisiti correlati:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4,, (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI NIST.800-53.r5 SC-7 DSS v4.0.1/1.4.4
**Categoria:** Protezione > Configurazione di rete sicura > Risorse non accessibili al pubblico
**Gravità:** alta
**Tipo di risorsa:** `AWS::EC2::LaunchTemplate`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-public-ip-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-public-ip-disabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se i modelli di lancio di Amazon EC2 sono configurati per assegnare indirizzi IP pubblici alle interfacce di rete al momento dell'avvio. Il controllo fallisce se un modello di avvio EC2 è configurato per assegnare un indirizzo IP pubblico alle interfacce di rete o se esiste almeno un'interfaccia di rete con un indirizzo IP pubblico.
Un indirizzo IP pubblico è raggiungibile da Internet. Se configuri le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete potrebbero essere raggiungibili da Internet. Le risorse EC2 non dovrebbero essere accessibili al pubblico perché ciò potrebbe consentire l'accesso involontario ai tuoi carichi di lavoro.
### Correzione
Per aggiornare un modello di lancio EC2, consulta [Modifica delle impostazioni dell'interfaccia di rete predefinita](https://docs.aws.amazon.com/autoscaling/ec2/userguide/create-launch-template.html#change-network-interface) nella *Amazon EC2 Auto* Scaling User Guide.
## [EC2.28] I volumi EBS devono essere coperti da un piano di backup
**Categoria:** Recover > Resilience > Backup abilitati
**Requisiti correlati:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-12, NIST.800-53.r5 SI-13 (5)
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::EC2::Volume`
**AWS Config regola: [https://docs.aws.amazon.com/config/latest/developerguide/ebs-resources-protected-by-backup-plan.html](https://docs.aws.amazon.com/config/latest/developerguide/ebs-resources-protected-by-backup-plan.html)**``
**Tipo di pianificazione:** periodica
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| `backupVaultLockCheck` | Il controllo restituisce un `PASSED` risultato se il parametro è impostato su `true` e la risorsa utilizza AWS Backup Vault Lock. | Booleano | `true` o `false` | Nessun valore predefinito |
Questo controllo valuta se un volume Amazon EBS in `in-use` stato è coperto da un piano di backup. Il controllo fallisce se un volume EBS non è coperto da un piano di backup. Se si imposta il `backupVaultLockCheck` parametro uguale a`true`, il controllo passa solo se viene eseguito il backup del volume EBS in un vault AWS Backup bloccato.
I backup consentono di ripristinare più rapidamente un incidente di sicurezza. Inoltre, rafforzano la resilienza dei sistemi. L'inclusione dei volumi Amazon EBS in un piano di backup aiuta a proteggere i dati da perdite o eliminazioni involontarie.
### Correzione
Per aggiungere un volume Amazon EBS a un piano di AWS Backup backup, consulta [Assegnazione di risorse a un piano di backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/assigning-resources.html) nella *AWS Backup Developer* Guide.
## [EC2.33] Gli allegati del gateway di transito EC2 devono essere etichettati
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::EC2::TransitGatewayAttachment`
**AWS Config regola:** `tagged-ec2-transitgatewayattachment` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un allegato del gateway di transito Amazon EC2 ha tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo ha esito negativo se l'allegato Transit Gateway non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave tag e fallisce se l'allegato del gateway di transito non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
Per aggiungere tag a un allegato del gateway di transito EC2, consulta [Tagga le tue risorse Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) nella *Amazon EC2 User Guide*.
## [EC2.34] Le tabelle delle rotte dei gateway di transito EC2 devono essere contrassegnate
**Categoria: Identificazione > Inventario** > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::EC2::TransitGatewayRouteTable`
**AWS Config regola:** `tagged-ec2-transitgatewayroutetable` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se una tabella di routing del gateway di transito Amazon EC2 contiene tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo ha esito negativo se la tabella delle rotte del gateway di transito non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se la tabella di route del gateway di transito non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
Per aggiungere tag a una tabella di routing del gateway di transito EC2, consulta [Etichettare le risorse Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) nella *Amazon EC2 User Guide*.
## [EC2.35] Le interfacce di rete EC2 devono essere etichettate
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::EC2::NetworkInterface`
**AWS Config regola:** `tagged-ec2-networkinterface` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un'interfaccia di rete Amazon EC2 dispone di tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se l'interfaccia di rete non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'interfaccia di rete non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
Per aggiungere tag a un'interfaccia di rete EC2, consulta Etichettare [le risorse Amazon EC2 nella Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) *User Guide*.
## [EC2.36] I gateway per i clienti EC2 devono essere etichettati
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::EC2::CustomerGateway`
**AWS Config regola:** `tagged-ec2-customergateway` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un gateway per clienti Amazon EC2 dispone di tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se il gateway del cliente non dispone di chiavi di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il gateway del cliente non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
Per aggiungere tag a un gateway clienti EC2, consulta [Tagga le tue risorse Amazon EC2 nella Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) *User Guide*.
## [EC2.37] Gli indirizzi IP elastici EC2 devono essere etichettati
**Categoria: Identificazione > Inventario** > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::EC2::EIP`
**AWS Config regola:** `tagged-ec2-eip` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un indirizzo IP elastico di Amazon EC2 ha tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se l'indirizzo IP elastico non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'indirizzo IP elastico non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
Per aggiungere tag a un indirizzo IP elastico EC2, consulta [Tagga le tue risorse Amazon EC2 nella Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) *User Guide*.
## [EC2.38] Le istanze EC2 devono essere etichettate
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::EC2::Instance`
**AWS Config regola:** `tagged-ec2-instance` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un'istanza Amazon EC2 ha tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se l'istanza non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'istanza non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
Per aggiungere tag a un'istanza EC2, consulta [Tagga le tue risorse Amazon EC2 nella Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) *User Guide*.
## [EC2.39] I gateway Internet EC2 devono essere etichettati
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::EC2::InternetGateway`
**AWS Config regola:** `tagged-ec2-internetgateway` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un gateway Internet Amazon EC2 dispone di tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se il gateway Internet non dispone di chiavi di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave tag e fallisce se il gateway Internet non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
Per aggiungere tag a un gateway Internet EC2, consulta [Tagga le tue risorse Amazon EC2 nella Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) *User Guide*.
## [EC2.40] I gateway NAT EC2 devono essere etichettati
**Categoria: Identificazione > Inventario > Etichettatura**
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::EC2::NatGateway`
**AWS Config regola:** `tagged-ec2-natgateway` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un gateway NAT (Network Address Translation) di Amazon EC2 ha tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se il gateway NAT non dispone di chiavi di tag o se non ha tutte le chiavi specificate nel parametro. `requiredTagKeys` Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il gateway NAT non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
Per aggiungere tag a un gateway NAT EC2, consulta [Tagga le tue risorse Amazon EC2 nella Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) User *Guide*.
## [EC2.41] La rete EC2 deve essere etichettata ACLs
**Categoria: Identificazione > Inventario** > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::EC2::NetworkAcl`
**AWS Config regola:** `tagged-ec2-networkacl` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se una lista di controllo degli accessi alla rete di Amazon EC2 (Network ACL) contiene tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se l'ACL di rete non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro. `requiredTagKeys` Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'ACL di rete non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
Per aggiungere tag a un ACL di rete EC2, consulta Etichettare [le risorse Amazon EC2 nella Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) User *Guide*.
## [EC2.42] Le tabelle di routing EC2 devono essere etichettate
**Categoria: Identificazione > Inventario** > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::EC2::RouteTable`
**AWS Config regola:** `tagged-ec2-routetable` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se una tabella di routing di Amazon EC2 contiene tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se la tabella di routing non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se la tabella delle rotte non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
Per aggiungere tag a una tabella di routing EC2, consulta [Tagga le tue risorse Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) nella *Amazon EC2 User Guide*.
## [EC2.43] I gruppi di sicurezza EC2 devono essere etichettati
**Categoria: Identificazione > Inventario** > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::EC2::SecurityGroup`
**AWS Config regola:** `tagged-ec2-securitygroup` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un gruppo di sicurezza Amazon EC2 dispone di tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se il gruppo di sicurezza non dispone di chiavi di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il gruppo di sicurezza non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
Per aggiungere tag a un gruppo di sicurezza EC2, consulta [Tagga le tue risorse Amazon EC2 nella Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) *User Guide*.
## [EC2.44] Le sottoreti EC2 devono essere etichettate
**Categoria: Identificazione > Inventario > Etichettatura**
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::EC2::Subnet`
**AWS Config regola:** `tagged-ec2-subnet` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se una sottorete Amazon EC2 dispone di tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se la sottorete non dispone di chiavi di tag o se non ha tutte le chiavi specificate nel parametro. `requiredTagKeys` Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se la sottorete non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
Per aggiungere tag a una sottorete EC2, consulta [Tagga le risorse Amazon EC2 nella Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) User *Guide*.
## [EC2.45] I volumi EC2 devono essere etichettati
**Categoria: Identificazione > Inventario** > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::EC2::Volume`
**AWS Config regola:** `tagged-ec2-volume` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un volume Amazon EC2 ha tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se il volume non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il volume non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
Per aggiungere tag a un volume EC2, consulta [Tagga le tue risorse Amazon EC2 nella Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) *User Guide*.
## [EC2.46] Amazon VPCs dovrebbe essere taggato
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::EC2::VPC`
**AWS Config regola:** `tagged-ec2-vpc` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un Amazon Virtual Private Cloud (Amazon VPC) ha tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se Amazon VPC non dispone di chiavi di tag o se non dispone di tutte le chiavi specificate nel parametro. `requiredTagKeys` Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se Amazon VPC non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
Per aggiungere tag a un VPC, consulta [Tagga le tue risorse Amazon EC2 nella Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) User *Guide*.
## [EC2.47] I servizi endpoint Amazon VPC devono essere etichettati
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::EC2::VPCEndpointService`
**AWS Config regola:** `tagged-ec2-vpcendpointservice` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un servizio endpoint Amazon VPC dispone di tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se il servizio endpoint non dispone di chiavi di tag o se non ha tutte le chiavi specificate nel parametro. `requiredTagKeys` Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il servizio endpoint non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
*Per aggiungere tag a un servizio endpoint Amazon VPC, consulta [Manage Tags](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#add-remove-endpoint-service-tags) nella sezione [Configura un servizio endpoint](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html) della Guida.AWS PrivateLink *
## [EC2.48] I log di flusso di Amazon VPC devono essere etichettati
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::EC2::FlowLog`
**AWS Config regola:** `tagged-ec2-flowlog` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un log di flusso Amazon VPC contiene tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se il log di flusso non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il log di flusso non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
Per aggiungere tag a un log di flusso di Amazon VPC, consulta Etichettare [un log di flusso](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-flow-logs.html#modify-tags-flow-logs) nella Amazon *VPC* User Guide.
## [EC2.49] Le connessioni peering Amazon VPC devono essere etichettate
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::EC2::VPCPeeringConnection`
**AWS Config regola:** `tagged-ec2-vpcpeeringconnection` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se una connessione peering Amazon VPC ha tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se la connessione peering non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro. `requiredTagKeys` Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se la connessione peering non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
*Per aggiungere tag a una connessione peering Amazon VPC, consulta [Tagga le tue risorse Amazon EC2 nella Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) User Guide.*
## [EC2.50] I gateway VPN EC2 devono essere etichettati
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::EC2::VPNGateway`
**AWS Config regola:** `tagged-ec2-vpngateway` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un gateway VPN Amazon EC2 dispone di tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se il gateway VPN non dispone di chiavi di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave tag e fallisce se il gateway VPN non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
Per aggiungere tag a un gateway VPN EC2, consulta [Tagga le tue risorse Amazon EC2 nella Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) *User Guide*.
## [EC2.51] Gli endpoint EC2 Client VPN devono avere la registrazione delle connessioni client abilitata
**Requisiti correlati:** NIST.800-53.r5 AC-2 (12), (4), NIST.800-53.r5 AC-2 (26), (9), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 SI-3 NIST.800-53.r5 AC-6 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 NIST.800-53.r5 SI-4, NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8), NIST.800-171.r2 3.1.12, NIST.800-171.12, NIST.800-171.12, NIST.800-171.12, NIST.800-171.12 r2 3.1.20, PCI DSS versione 4.0.1/10.2.1
**Categoria:** Identificazione > Registrazione
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::EC2::ClientVpnEndpoint`
**AWS Config regola: [https://docs.aws.amazon.com/config/latest/developerguide/ec2-client-vpn-connection-log-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-client-vpn-connection-log-enabled.html)**``
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un AWS Client VPN endpoint ha abilitato la registrazione delle connessioni client. Il controllo fallisce se sull'endpoint non è abilitata la registrazione delle connessioni client.
Gli endpoint Client VPN consentono ai client remoti di connettersi in modo sicuro alle risorse in un Virtual Private Cloud (VPC) in. AWS I log di connessione consentono di tracciare l'attività degli utenti sull'endpoint VPN e forniscono visibilità. Quando attivi la registrazione delle connessioni, puoi specificare il nome di un flusso di log nel gruppo di log. Se non specifichi un flusso di log, il servizio Client VPN ne crea uno per te.
### Correzione
*Per abilitare la registrazione delle connessioni, consulta [Abilitare la registrazione della connessione per un endpoint Client VPN esistente](https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/cvpn-working-with-connection-logs.html#create-connection-log-existing) nella Guida per l'AWS Client VPN amministratore.*
## [EC2.52] I gateway di transito EC2 devono essere etichettati
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::EC2::TransitGateway`
**AWS Config regola:** `tagged-ec2-transitgateway` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | No default value |
Questo controllo verifica se un gateway di transito Amazon EC2 dispone di tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se il gateway di transito non dispone di chiavi di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il gateway di transito non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
Per aggiungere tag a un gateway di transito EC2, consulta [Tagga le tue risorse Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) nella *Amazon EC2 User Guide*.
## [EC2.53] I gruppi di sicurezza EC2 non dovrebbero consentire l'accesso da 0.0.0.0/0 alle porte di amministrazione remota del server
**Requisiti correlati:** CIS Foundations Benchmark v5.0.0/5.3, CIS AWS Foundations Benchmark v3.0.0/5.2, PCI DSS v4.0.1/1.3.1 AWS
**Categoria**: Protezione > Configurazione di rete sicura > Configurazione del gruppo di sicurezza
**Gravità:** alta
**Tipo di risorsa:** `AWS::EC2::SecurityGroup`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-port-restriction-check.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-port-restriction-check.html)
**Tipo di pianificazione:** periodica
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| `ipType` | La versione IP | Stringa | Non personalizzabile | `IPv4` |
| `restrictPorts` | Elenco di porte che dovrebbero rifiutare il traffico in ingresso | IntegerList | Non personalizzabile | `22,3389` |
Questo controllo verifica se un gruppo di sicurezza Amazon EC2 consente l'ingresso da 0.0.0.0/0 alle porte di amministrazione remota del server (porte 22 e 3389). Il controllo fallisce se il gruppo di sicurezza consente l'ingresso da 0.0.0.0/0 alla porta 22 o 3389.
I gruppi di sicurezza forniscono filtraggio stateful del traffico di rete in entrata e in uscita a risorse AWS . È consigliabile che nessun gruppo di sicurezza consenta l'accesso illimitato in ingresso alle porte di amministrazione remota del server, come SSH alla porta 22 e RDP alla porta 3389, utilizzando i protocolli TDP (6), UDP (17) o ALL (-1). Consentire l'accesso pubblico a queste porte aumenta la superficie di attacco delle risorse e il rischio di compromissione delle risorse.
### Correzione
Per aggiornare una regola del gruppo di sicurezza EC2 per vietare il traffico in ingresso verso le porte specificate, consulta [Update security group rules](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#updating-security-group-rules) nella *Amazon* EC2 User Guide. Dopo aver selezionato un gruppo di sicurezza nella console Amazon EC2, scegli **Azioni, Modifica regole in entrata**. Rimuovi la regola che consente l'accesso alla porta 22 o alla porta 3389.
## [EC2.54] I gruppi di sicurezza EC2 non dovrebbero consentire l'accesso da: :/0 alle porte di amministrazione remota del server
**Requisiti correlati:** CIS Foundations Benchmark v5.0.0/5.4, CIS AWS Foundations Benchmark v3.0.0/5.3, PCI DSS v4.0.1/1.3.1 AWS
**Categoria**: Protezione > Configurazione di rete sicura > Configurazione del gruppo di sicurezza
**Gravità:** alta
**Tipo di risorsa:** `AWS::EC2::SecurityGroup`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-port-restriction-check.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-port-restriction-check.html)
**Tipo di pianificazione:** periodica
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| `ipType` | La versione IP | Stringa | Non personalizzabile | `IPv6` |
| `restrictPorts` | Elenco di porte che dovrebbero rifiutare il traffico in ingresso | IntegerList | Non personalizzabile | `22,3389` |
Questo controllo verifica se un gruppo di sicurezza Amazon EC2 consente l'accesso da: :/0 alle porte di amministrazione del server remoto (porte 22 e 3389). Il controllo fallisce se il gruppo di sicurezza consente l'ingresso da: :/0 alla porta 22 o 3389.
I gruppi di sicurezza forniscono filtraggio stateful del traffico di rete in entrata e in uscita a risorse AWS . È consigliabile che nessun gruppo di sicurezza consenta l'accesso illimitato in ingresso alle porte di amministrazione remota del server, come SSH alla porta 22 e RDP alla porta 3389, utilizzando i protocolli TDP (6), UDP (17) o ALL (-1). Consentire l'accesso pubblico a queste porte aumenta la superficie di attacco delle risorse e il rischio di compromissione delle risorse.
### Correzione
Per aggiornare una regola del gruppo di sicurezza EC2 per vietare il traffico in ingresso verso le porte specificate, consulta [Update security group rules](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#updating-security-group-rules) nella *Amazon* EC2 User Guide. Dopo aver selezionato un gruppo di sicurezza nella console Amazon EC2, scegli **Azioni, Modifica regole in entrata**. Rimuovi la regola che consente l'accesso alla porta 22 o alla porta 3389.
## [EC2.55] VPCs deve essere configurato con un endpoint di interfaccia per l'API ECR
**Requisiti correlati:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7 (11) NIST.800-53.r5 SC-7, (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4) NIST.800-53.r5 SC-7
**Categoria:** Protezione > Gestione sicura degli accessi > Controllo degli accessi
**Gravità:** media
**Tipo di risorsa:**`AWS::EC2::VPC`, `AWS::EC2::VPCEndpoint`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html)
**Tipo di pianificazione:** periodica
**Parametri:**
| Parametro | Obbligatorio | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- | --- |
| serviceNames | Richiesto | Il nome del servizio valutato dal controllo | Stringa | Non personalizzabile | ecr.api |
| vpcIds | Facoltativo | Elenco separato da virgole di Amazon VPC per endpoint VPC. IDs Se fornito, il controllo fallisce se i servizi specificati nel serviceName parametro non dispongono di uno di questi endpoint VPC. | StringList | Personalizza con uno o più VPC IDs | Nessun valore predefinito |
Questo controllo verifica se un cloud privato virtuale (VPC) che gestisci ha un endpoint VPC di interfaccia per l'API Amazon ECR. Il controllo fallisce se il VPC non dispone di un endpoint VPC di interfaccia per l'API ECR. Questo controllo valuta le risorse in un singolo account.
AWS PrivateLink consente ai clienti di accedere ai servizi ospitati AWS in modo altamente disponibile e scalabile, mantenendo tutto il traffico di rete all'interno della AWS rete. Gli utenti del servizio possono accedere in modo privato ai servizi forniti PrivateLink dal proprio VPC o dall'ambiente locale, senza utilizzare il servizio IPs pubblico e senza richiedere che il traffico attraversi su Internet.
### Correzione
*Per configurare un endpoint VPC, consulta [Accedere e Servizio AWS utilizzare un endpoint VPC di interfaccia](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) nella Guida.AWS PrivateLink *
## [EC2.56] VPCs deve essere configurato con un endpoint di interfaccia per Docker Registry
**Requisiti correlati:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7 (11) NIST.800-53.r5 SC-7, (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4) NIST.800-53.r5 SC-7
**Categoria:** Protezione > Gestione sicura degli accessi > Controllo degli accessi
**Gravità:** media
**Tipo di risorsa:**`AWS::EC2::VPC`, `AWS::EC2::VPCEndpoint`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html)
**Tipo di pianificazione:** periodica
**Parametri:**
| Parametro | Obbligatorio | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- | --- |
| serviceNames | Richiesto | Il nome del servizio valutato dal controllo | Stringa | Non personalizzabile | ecr.dkr |
| vpcIds | Facoltativo | Elenco separato da virgole di Amazon VPC per endpoint VPC. IDs Se fornito, il controllo fallisce se i servizi specificati nel serviceName parametro non dispongono di uno di questi endpoint VPC. | StringList | Personalizza con uno o più VPC IDs | Nessun valore predefinito |
Questo controllo verifica se un cloud privato virtuale (VPC) che gestisci ha un endpoint VPC di interfaccia per Docker Registry. Il controllo fallisce se il VPC non dispone di un endpoint VPC di interfaccia per Docker Registry. Questo controllo valuta le risorse in un singolo account.
AWS PrivateLink consente ai clienti di accedere ai servizi ospitati AWS in modo altamente disponibile e scalabile, mantenendo tutto il traffico di rete all'interno della AWS rete. Gli utenti del servizio possono accedere in modo privato ai servizi forniti PrivateLink dal proprio VPC o dall'ambiente locale, senza utilizzare il servizio IPs pubblico e senza richiedere che il traffico attraversi su Internet.
### Correzione
*Per configurare un endpoint VPC, consulta [Accedere e Servizio AWS utilizzare un endpoint VPC di interfaccia](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) nella Guida.AWS PrivateLink *
## [EC2.57] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager
**Requisiti correlati:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4) NIST.800-53.r5 SC-7
**Categoria:** Protezione > Gestione sicura degli accessi > Controllo degli accessi
**Gravità:** media
**Tipo di risorsa:**`AWS::EC2::VPC`, `AWS::EC2::VPCEndpoint`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html)
**Tipo di pianificazione:** periodica
**Parametri:**
| Parametro | Obbligatorio | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- | --- |
| serviceNames | Richiesto | Il nome del servizio valutato dal controllo | Stringa | Non personalizzabile | ssm |
| vpcIds | Facoltativo | Elenco separato da virgole di Amazon VPC per endpoint VPC. IDs Se fornito, il controllo fallisce se i servizi specificati nel serviceName parametro non dispongono di uno di questi endpoint VPC. | StringList | Personalizza con uno o più VPC IDs | Nessun valore predefinito |
Questo controllo verifica se un cloud privato virtuale (VPC) che gestisci dispone di un'interfaccia per un endpoint VPC. AWS Systems Manager Il controllo fallisce se il VPC non dispone di un endpoint VPC di interfaccia per Systems Manager. Questo controllo valuta le risorse in un singolo account.
AWS PrivateLink consente ai clienti di accedere ai servizi ospitati AWS in modo altamente disponibile e scalabile, mantenendo tutto il traffico di rete all'interno della AWS rete. Gli utenti del servizio possono accedere in modo privato ai servizi forniti PrivateLink dal proprio VPC o dall'ambiente locale, senza utilizzare il servizio IPs pubblico e senza richiedere che il traffico attraversi su Internet.
### Correzione
*Per configurare un endpoint VPC, consulta [Accedere e Servizio AWS utilizzare un endpoint VPC di interfaccia](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) nella Guida.AWS PrivateLink *
## [EC2.58] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager Contacts
**Requisiti correlati:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4) NIST.800-53.r5 SC-7
**Categoria:** Protezione > Gestione sicura degli accessi > Controllo degli accessi
**Gravità:** media
**Tipo di risorsa:**`AWS::EC2::VPC`, `AWS::EC2::VPCEndpoint`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html)
**Tipo di pianificazione:** periodica
**Parametri:**
| Parametro | Obbligatorio | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- | --- |
| serviceNames | Richiesto | Il nome del servizio valutato dal controllo | Stringa | Non personalizzabile | ssm-contacts |
| vpcIds | Facoltativo | Elenco separato da virgole di Amazon VPC per endpoint VPC. IDs Se fornito, il controllo fallisce se i servizi specificati nel serviceName parametro non dispongono di uno di questi endpoint VPC. | StringList | Personalizza con uno o più VPC IDs | Nessun valore predefinito |
Questo controllo verifica se un cloud privato virtuale (VPC) che gestisci dispone di un endpoint VPC di interfaccia per Incident Manager Contacts. AWS Systems Manager Il controllo fallisce se il VPC non dispone di un endpoint VPC di interfaccia per Systems Manager Incident Manager Contacts. Questo controllo valuta le risorse in un singolo account.
AWS PrivateLink consente ai clienti di accedere ai servizi ospitati AWS in modo altamente disponibile e scalabile, mantenendo tutto il traffico di rete all'interno della AWS rete. Gli utenti del servizio possono accedere in modo privato ai servizi forniti PrivateLink dal proprio VPC o dall'ambiente locale, senza utilizzare il servizio IPs pubblico e senza richiedere che il traffico attraversi su Internet.
### Correzione
*Per configurare un endpoint VPC, consulta [Accedere e Servizio AWS utilizzare un endpoint VPC di interfaccia](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) nella Guida.AWS PrivateLink *
## [EC2.60] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager
**Requisiti correlati:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4) NIST.800-53.r5 SC-7
**Categoria:** Protezione > Gestione sicura degli accessi > Controllo degli accessi
**Gravità:** media
**Tipo di risorsa:**`AWS::EC2::VPC`, `AWS::EC2::VPCEndpoint`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html)
**Tipo di pianificazione:** periodica
**Parametri:**
| Parametro | Obbligatorio | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- | --- |
| serviceNames | Richiesto | Il nome del servizio valutato dal controllo | Stringa | Non personalizzabile | ssm-incidents |
| vpcIds | Facoltativo | Elenco separato da virgole di Amazon VPC per endpoint VPC. IDs Se fornito, il controllo fallisce se i servizi specificati nel serviceName parametro non dispongono di uno di questi endpoint VPC. | StringList | Personalizza con uno o più VPC IDs | Nessun valore predefinito |
Questo controllo verifica se un cloud privato virtuale (VPC) che gestisci ha un'interfaccia VPC endpoint per Incident Manager. AWS Systems Manager Il controllo fallisce se il VPC non dispone di un endpoint VPC di interfaccia per Systems Manager Incident Manager. Questo controllo valuta le risorse in un singolo account.
AWS PrivateLink consente ai clienti di accedere ai servizi ospitati AWS in modo altamente disponibile e scalabile, mantenendo tutto il traffico di rete all'interno della AWS rete. Gli utenti del servizio possono accedere in modo privato ai servizi forniti PrivateLink dal proprio VPC o dall'ambiente locale, senza utilizzare il servizio IPs pubblico e senza richiedere che il traffico attraversi su Internet.
### Correzione
*Per configurare un endpoint VPC, consulta [Accedere e Servizio AWS utilizzare un endpoint VPC di interfaccia](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) nella Guida.AWS PrivateLink *
## [EC2.170] I modelli di lancio di EC2 devono utilizzare Instance Metadata Service Version 2 () IMDSv2
**Requisiti correlati**: PCI DSS v4.0.1/2.2.6
**Categoria**: Proteggi > Sicurezza di rete
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::EC2::LaunchTemplate`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-imdsv2-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-imdsv2-check.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un modello di lancio di Amazon EC2 è configurato con Instance Metadata Service versione 2 (). IMDSv2 Il controllo fallisce se `HttpTokens` è impostato su. `optional`
L'esecuzione delle risorse sulle versioni software supportate garantisce prestazioni ottimali, sicurezza e accesso alle funzionalità più recenti. Gli aggiornamenti regolari proteggono dalle vulnerabilità, il che aiuta a garantire un'esperienza utente stabile ed efficiente.
### Correzione
*Per richiedere IMDSv2 su un modello di lancio EC2, consulta [Configura le opzioni del servizio di metadati dell'istanza nella Amazon EC2 User](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-options.html) Guide.*
## [EC2.171] Le connessioni VPN EC2 devono avere la registrazione abilitata
**Requisiti correlati:** CIS AWS Foundations Benchmark v3.0.0/5.3, PCI DSS v4.0.1/10.4.2
**Categoria:** Identificazione > Registrazione
**Gravità:** media
**Tipo di risorsa:** `AWS::EC2::VPNConnection`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-vpn-connection-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-vpn-connection-logging-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se una connessione AWS Site-to-Site VPN ha Amazon CloudWatch Logs abilitato per entrambi i tunnel. Il controllo fallisce se una connessione Site-to-Site VPN non ha CloudWatch i log abilitati per entrambi i tunnel.
AWS Site-to-Site I log VPN ti offrono una visibilità più approfondita sulle tue Site-to-Site implementazioni VPN. Con questa funzionalità, hai accesso ai registri delle connessioni Site-to-Site VPN che forniscono dettagli sulla creazione del tunnel IP Security (IPsec), sulle negoziazioni IKE (Internet Key Exchange) e sui messaggi del protocollo Dead Peer Detection (DPD). Site-to-Site I log VPN possono essere pubblicati in CloudWatch Logs. Questa funzionalità offre ai clienti un unico modo coerente per accedere e analizzare i log dettagliati di tutte le loro Site-to-Site connessioni VPN.
### Correzione
*Per abilitare la registrazione del tunnel su una connessione VPN EC2, consulta [i log AWS Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/monitoring-logs.html#enable-logs) nella Guida per l'utente della AWS Site-to-Site VPN.*
## [EC2.172] Le impostazioni VPC Block Public Access di EC2 dovrebbero bloccare il traffico del gateway Internet
**Categoria:** Protezione > Configurazione di rete sicura > Risorse non accessibili al pubblico
**Gravità:** media
**Tipo di risorsa:** `AWS::EC2::VPCBlockPublicAccessOptions`
**AWS Config regola:** `ec2-vpc-bpa-internet-gateway-blocked` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| `vpcBpaInternetGatewayBlockMode` | Valore stringa della modalità opzioni VPC BPA. | Enum | `block-bidirectional`, `block-ingress` | Nessun valore predefinito |
Questo controllo verifica se le impostazioni di Amazon EC2 VPC Block Public Access (BPA) sono configurate per bloccare il traffico del gateway Internet per tutti gli Amazon del sistema. VPCs Account AWS Il controllo fallisce se le impostazioni VPC BPA non sono configurate per bloccare il traffico del gateway Internet. Affinché il controllo passi, il VPC BPA `InternetGatewayBlockMode` deve essere impostato su o. `block-bidirectional` `block-ingress` Se `vpcBpaInternetGatewayBlockMode` viene fornito il parametro, il controllo passa solo se il valore VPC BPA per `InternetGatewayBlockMode` corrisponde al parametro.
La configurazione delle impostazioni VPC BPA per il tuo account consente di impedire alle risorse e alle sottoreti di tua proprietà VPCs in quella regione di raggiungere o essere raggiunte da Internet tramite gateway Internet e gateway Internet solo in uscita. Regione AWS Se hai bisogno di sottoreti specifiche VPCs per poter raggiungere o essere raggiungibile da Internet, puoi escluderle configurando le esclusioni VPC BPA. Per istruzioni su come creare ed eliminare esclusioni, consulta [Creare ed eliminare esclusioni](https://docs.aws.amazon.com/vpc/latest/userguide/security-vpc-bpa-basics.html#security-vpc-bpa-exclusions) nella Amazon *VPC* User Guide.
### Correzione
*Per abilitare il BPA bidirezionale a livello di account, consulta [Abilita la modalità bidirezionale BPA per il tuo account nella](https://docs.aws.amazon.com/vpc/latest/userguide/security-vpc-bpa-basics.html#security-vpc-bpa-enable-bidir) Amazon VPC User Guide.* Per abilitare il BPA solo in ingresso, consulta Modificare la modalità [VPC](https://docs.aws.amazon.com/vpc/latest/userguide/security-vpc-bpa-basics.html#security-vpc-bpa-ingress-only) BPA in solo ingresso. Per abilitare VPC BPA a livello di organizzazione, consulta Abilitare [VPC BPA](https://docs.aws.amazon.com/vpc/latest/userguide/security-vpc-bpa-basics.html#security-vpc-bpa-exclusions-orgs) a livello di organizzazione.
## [EC2.173] Le richieste Spot Fleet di EC2 con parametri di avvio devono abilitare la crittografia per i volumi EBS collegati
**Categoria:** Protezione > Protezione dei dati > Crittografia di data-at-rest
**Gravità:** media
**Tipo di risorsa:** `AWS::EC2::SpotFleet`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-spot-fleet-request-ct-encryption-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-spot-fleet-request-ct-encryption-at-rest.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se una richiesta Amazon EC2 Spot Fleet che specifica i parametri di avvio è configurata per abilitare la crittografia per tutti i volumi Amazon Elastic Block Store (Amazon EBS) collegati alle istanze EC2. Il controllo fallisce se la richiesta Spot Fleet specifica i parametri di avvio e non abilita la crittografia per uno o più volumi EBS specificati nella richiesta.
Per un ulteriore livello di sicurezza, è necessario abilitare la crittografia per i volumi Amazon EBS. Le operazioni di crittografia vengono quindi eseguite sui server che ospitano le istanze Amazon EC2, il che aiuta a garantire la sicurezza sia dei dati inattivi che dei dati in transito tra un'istanza e lo storage EBS collegato. La crittografia Amazon EBS è una soluzione di crittografia semplice per le risorse EBS associate alle tue istanze EC2. Con la crittografia EBS, non è necessario creare, mantenere e proteggere la propria infrastruttura di gestione delle chiavi. La crittografia EBS viene utilizzata AWS KMS keys durante la creazione di volumi crittografati.
**Note**
Questo controllo non genera risultati per le richieste di Amazon EC2 Spot Fleet che utilizzano modelli di lancio. Inoltre, non genera risultati per le richieste Spot Fleet che non specificano esplicitamente un valore per il `encrypted` parametro.
### Correzione
Non esiste un modo diretto per crittografare un volume Amazon EBS esistente e non crittografato. Puoi crittografare un nuovo volume solo quando lo crei.
Tuttavia, se abiliti la crittografia per impostazione predefinita, Amazon EBS crittografa i nuovi volumi utilizzando la tua chiave predefinita per la crittografia EBS. Se non abiliti la crittografia per impostazione predefinita, puoi abilitarla quando crei un singolo volume. In entrambi i casi, puoi sostituire la chiave predefinita per la crittografia EBS e scegliere una chiave gestita dal cliente. AWS KMS key Per ulteriori informazioni sulla crittografia EBS, consulta [Amazon EBS encryption](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption.html) nella *Amazon EBS* User Guide.
Per informazioni sulla creazione di una richiesta Amazon EC2 Spot Fleet, consulta [Create a Spot Fleet](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/create-spot-fleet.html) nella *Amazon Elastic Compute Cloud User Guide*.
## [EC2.174] I set di opzioni DHCP EC2 devono essere etichettati
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::EC2::DHCPOptions`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-dhcp-options-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-dhcp-options-tagged.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Un elenco di chiavi di tag non di sistema che devono essere assegnate a una risorsa valutata. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un set di opzioni DHCP di Amazon EC2 ha le chiavi dei tag specificate dal parametro. `requiredKeyTags` Il controllo fallisce se il set di opzioni non ha alcuna chiave di tag o non ha tutte le chiavi specificate dal `requiredKeyTags` parametro. Se non specificate alcun valore per il `requiredKeyTags` parametro, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'insieme di opzioni non contiene chiavi di tag. Il controllo ignora i tag di sistema, che vengono applicati automaticamente e hanno il `aws:` prefisso.
Un tag è un'etichetta che si crea e si assegna a una risorsa. AWS Ogni tag è composto da una chiave di tag obbligatoria e da un valore di tag opzionale. È possibile utilizzare i tag per classificare le risorse in base allo scopo, al proprietario, all'ambiente o ad altri criteri. Possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. Possono anche aiutarti a tenere traccia delle azioni e delle notifiche dei proprietari delle risorse. Puoi anche utilizzare i tag per implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione. *Per ulteriori informazioni sulle strategie ABAC, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella IAM User Guide.* Per ulteriori informazioni sui tag, consulta la Guida per l'utente di [Tagging AWS Resources and Tag Editor](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**Nota**
Non memorizzare informazioni personali identificabili o altre informazioni riservate o sensibili nei tag. I tag sono accessibili da molti Servizi AWS. Non sono destinati a essere utilizzati per dati privati o sensibili.
### Correzione
*Per informazioni sull'aggiunta di tag a un set di opzioni DHCP di Amazon EC2, consulta [Tagga le tue risorse Amazon EC2 nella Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) User Guide.*
## [EC2.175] I modelli di lancio di EC2 devono essere etichettati
**Categoria: Identificazione > Inventario** > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::EC2::LaunchTemplate`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-tagged.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Un elenco di chiavi di tag non di sistema che devono essere assegnate a una risorsa valutata. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un modello di lancio di Amazon EC2 ha le chiavi dei tag specificate dal `requiredKeyTags` parametro. Il controllo fallisce se il modello di lancio non ha alcuna chiave di tag o non ha tutte le chiavi specificate dal `requiredKeyTags` parametro. Se non specificate alcun valore per il `requiredKeyTags` parametro, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il modello di avvio non ha alcuna chiave di tag. Il controllo ignora i tag di sistema, che vengono applicati automaticamente e hanno il `aws:` prefisso.
Un tag è un'etichetta che si crea e si assegna a una risorsa. AWS Ogni tag è composto da una chiave di tag obbligatoria e da un valore di tag opzionale. È possibile utilizzare i tag per classificare le risorse in base allo scopo, al proprietario, all'ambiente o ad altri criteri. Possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. Possono anche aiutarti a tenere traccia delle azioni e delle notifiche dei proprietari delle risorse. Puoi anche utilizzare i tag per implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione. *Per ulteriori informazioni sulle strategie ABAC, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella IAM User Guide.* Per ulteriori informazioni sui tag, consulta la Guida per l'utente di [Tagging AWS Resources and Tag Editor](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**Nota**
Non memorizzare informazioni personali identificabili o altre informazioni riservate o sensibili nei tag. I tag sono accessibili da molti Servizi AWS. Non sono destinati a essere utilizzati per dati privati o sensibili.
### Correzione
Per informazioni sull'aggiunta di tag a un modello di lancio di Amazon EC2, consulta [Tagga le tue risorse Amazon EC2 nella Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) User *Guide*.
## [EC2.176] Gli elenchi di prefissi EC2 devono essere etichettati
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::EC2::PrefixList`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-prefix-list-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-prefix-list-tagged.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Un elenco di chiavi di tag non di sistema che devono essere assegnate a una risorsa valutata. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un elenco di prefissi Amazon EC2 contiene le chiavi dei tag specificate dal parametro. `requiredKeyTags` Il controllo ha esito negativo se l'elenco dei prefissi non contiene alcuna chiave di tag o non contiene tutte le chiavi specificate dal parametro. `requiredKeyTags` Se non specificate alcun valore per il `requiredKeyTags` parametro, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'elenco dei prefissi non contiene chiavi di tag. Il controllo ignora i tag di sistema, che vengono applicati automaticamente e hanno il `aws:` prefisso.
Un tag è un'etichetta che si crea e si assegna a una risorsa. AWS Ogni tag è composto da una chiave di tag obbligatoria e da un valore di tag opzionale. È possibile utilizzare i tag per classificare le risorse in base allo scopo, al proprietario, all'ambiente o ad altri criteri. Possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. Possono anche aiutarti a tenere traccia delle azioni e delle notifiche dei proprietari delle risorse. Puoi anche utilizzare i tag per implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione. *Per ulteriori informazioni sulle strategie ABAC, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella IAM User Guide.* Per ulteriori informazioni sui tag, consulta la Guida per l'utente di [Tagging AWS Resources and Tag Editor](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**Nota**
Non memorizzare informazioni personali identificabili o altre informazioni riservate o sensibili nei tag. I tag sono accessibili da molti Servizi AWS. Non sono destinati a essere utilizzati per dati privati o sensibili.
### Correzione
*Per informazioni sull'aggiunta di tag a un elenco di prefissi Amazon EC2, consulta [Tagga le risorse Amazon EC2 nella Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) User Guide.*
## [EC2.177] Le sessioni di Traffic Mirror di EC2 devono essere etichettate
**Categoria: Identificazione > Inventario** > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::EC2::TrafficMirrorSession`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-session-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-session-tagged.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Un elenco di chiavi di tag non di sistema che devono essere assegnate a una risorsa valutata. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se una sessione di Traffic Mirror di Amazon EC2 ha le chiavi dei tag specificate dal `requiredKeyTags` parametro. Il controllo fallisce se la sessione non ha alcuna chiave di tag o non ha tutte le chiavi specificate dal `requiredKeyTags` parametro. Se non specificate alcun valore per il `requiredKeyTags` parametro, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se la sessione non ha alcuna chiave di tag. Il controllo ignora i tag di sistema, che vengono applicati automaticamente e hanno il `aws:` prefisso.
Un tag è un'etichetta che si crea e si assegna a una risorsa. AWS Ogni tag è composto da una chiave di tag obbligatoria e da un valore di tag opzionale. È possibile utilizzare i tag per classificare le risorse in base allo scopo, al proprietario, all'ambiente o ad altri criteri. Possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. Possono anche aiutarti a tenere traccia delle azioni e delle notifiche dei proprietari delle risorse. Puoi anche utilizzare i tag per implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione. *Per ulteriori informazioni sulle strategie ABAC, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella IAM User Guide.* Per ulteriori informazioni sui tag, consulta la Guida per l'utente di [Tagging AWS Resources and Tag Editor](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**Nota**
Non memorizzare informazioni personali identificabili o altre informazioni riservate o sensibili nei tag. I tag sono accessibili da molti Servizi AWS. Non sono destinati a essere utilizzati per dati privati o sensibili.
### Correzione
Per informazioni sull'aggiunta di tag a una sessione di Traffic Mirror di Amazon EC2, consulta [Tagga le tue risorse Amazon EC2 nella Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) User *Guide*.
## [EC2.178] I filtri Traffic Mirror EC2 devono essere etichettati
**Categoria: Identificazione > Inventario** > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::EC2::TrafficMirrorFilter`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-filter-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-filter-tagged.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Un elenco di chiavi di tag non di sistema che devono essere assegnate a una risorsa valutata. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un filtro Traffic Mirror di Amazon EC2 ha le chiavi dei tag specificate dal `requiredKeyTags` parametro. Il controllo fallisce se il filtro non ha alcuna chiave di tag o non ha tutte le chiavi specificate dal `requiredKeyTags` parametro. Se non specificate alcun valore per il `requiredKeyTags` parametro, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il filtro non ha alcuna chiave di tag. Il controllo ignora i tag di sistema, che vengono applicati automaticamente e hanno il `aws:` prefisso.
Un tag è un'etichetta che si crea e si assegna a una risorsa. AWS Ogni tag è composto da una chiave di tag obbligatoria e da un valore di tag opzionale. È possibile utilizzare i tag per classificare le risorse in base allo scopo, al proprietario, all'ambiente o ad altri criteri. Possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. Possono anche aiutarti a tenere traccia delle azioni e delle notifiche dei proprietari delle risorse. Puoi anche utilizzare i tag per implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione. *Per ulteriori informazioni sulle strategie ABAC, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella IAM User Guide.* Per ulteriori informazioni sui tag, consulta la Guida per l'utente di [Tagging AWS Resources and Tag Editor](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**Nota**
Non memorizzare informazioni personali identificabili o altre informazioni riservate o sensibili nei tag. I tag sono accessibili da molti Servizi AWS. Non sono destinati a essere utilizzati per dati privati o sensibili.
### Correzione
Per informazioni sull'aggiunta di tag a un filtro Traffic Mirror di Amazon EC2, consulta [Tagga le tue risorse Amazon EC2 nella Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) User *Guide*.
## [EC2.179] Gli obiettivi del traffic mirror di EC2 devono essere etichettati
**Categoria: Identificazione > Inventario** > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::EC2::TrafficMirrorTarget`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-target-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-target-tagged.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Un elenco di chiavi di tag non di sistema che devono essere assegnate a una risorsa valutata. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un target del Traffic Mirror di Amazon EC2 ha le chiavi dei tag specificate dal `requiredKeyTags` parametro. Il controllo fallisce se la destinazione non ha alcuna chiave di tag o non ha tutte le chiavi specificate dal `requiredKeyTags` parametro. Se non specificate alcun valore per il `requiredKeyTags` parametro, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se la destinazione non dispone di chiavi di tag. Il controllo ignora i tag di sistema, che vengono applicati automaticamente e hanno il `aws:` prefisso.
Un tag è un'etichetta che si crea e si assegna a una risorsa. AWS Ogni tag è composto da una chiave di tag obbligatoria e da un valore di tag opzionale. È possibile utilizzare i tag per classificare le risorse in base allo scopo, al proprietario, all'ambiente o ad altri criteri. Possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. Possono anche aiutarti a tenere traccia delle azioni e delle notifiche dei proprietari delle risorse. Puoi anche utilizzare i tag per implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione. *Per ulteriori informazioni sulle strategie ABAC, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella IAM User Guide.* Per ulteriori informazioni sui tag, consulta la Guida per l'utente di [Tagging AWS Resources and Tag Editor](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**Nota**
Non memorizzare informazioni personali identificabili o altre informazioni riservate o sensibili nei tag. I tag sono accessibili da molti Servizi AWS. Non sono destinati a essere utilizzati per dati privati o sensibili.
### Correzione
Per informazioni sull'aggiunta di tag a un target di traffico mirror di Amazon EC2, consulta [Tagga le tue risorse Amazon EC2 nella Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) User *Guide*.
## [EC2.180] Il controllo delle interfacce di rete EC2 dovrebbe avere il controllo abilitato source/destination
**Categoria: Proteggi > Sicurezza** di rete
**Gravità:** media
**Tipo di risorsa:** `AWS::EC2::NetworkInterface`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-enis-source-destination-check-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-enis-source-destination-check-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se il source/destination controllo è abilitato per un'interfaccia di rete elastica (ENI) di Amazon EC2 gestita dagli utenti. Il controllo fallisce se il source/destination controllo è disabilitato per l'ENI gestito dall'utente. Questo controllo verifica solo i seguenti tipi di ENIs:`aws_codestar_connections_managed`,`branch`,`efa`, `interface``lambda`, e`quicksight`.
Source/destination checking for Amazon EC2 instances and attached ENIs should be enabled and configured consistently across your EC2 instances. Each ENI has its own setting for source/destination checks. If source/destination checking is enabled, Amazon EC2 enforces source/destinationconvalida degli indirizzi, che garantisce che un'istanza sia l'origine o la destinazione di tutto il traffico che riceve. Ciò fornisce un ulteriore livello di sicurezza della rete impedendo alle risorse di gestire traffico involontario e prevenendo lo spoofing degli indirizzi IP.
**Nota**
[Se utilizzi un'istanza EC2 come istanza NAT e hai disabilitato il source/destination controllo dell'ENI, puoi invece utilizzare un gateway NAT.](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html)
### Correzione
Per informazioni sull'abilitazione source/destination dei controlli per un Amazon EC2 ENI, consulta [Modificare gli attributi dell'interfaccia di rete](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/modify-network-interface-attributes.html#modify-source-dest-check) nella *Amazon EC2* User Guide.
## [EC2.181] I modelli di lancio di EC2 devono abilitare la crittografia per i volumi EBS collegati
**Categoria:** Protezione > Protezione dei dati > Crittografia di data-at-rest
**Gravità:** media
**Tipo di risorsa:** `AWS::EC2::LaunchTemplate`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-templates-ebs-volume-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-templates-ebs-volume-encrypted.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un modello di lancio di Amazon EC2 abilita la crittografia per tutti i volumi EBS collegati. Il controllo fallisce se il parametro di crittografia è impostato su qualsiasi volume EBS specificato dal modello di lancio EC2. `False`
La crittografia Amazon EBS è una soluzione di crittografia semplice per le risorse EBS associate alle istanze Amazon EC2. Con la crittografia EBS, non è necessario creare, mantenere e proteggere la propria infrastruttura di gestione delle chiavi. La crittografia EBS AWS KMS keys viene utilizzata durante la creazione di volumi e istantanee crittografati. Le operazioni di crittografia avvengono sui server che ospitano le istanze EC2, il che aiuta a garantire la sicurezza dei dati inattivi e dei dati in transito tra un'istanza EC2 e lo storage EBS collegato. Per ulteriori informazioni, consulta [Crittografia Amazon EBS](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption.html) nella *Guida per l'utente di Amazon EBS*.
Puoi abilitare la crittografia EBS durante gli avvii manuali di singole istanze EC2. Tuttavia, ci sono diversi vantaggi nell'utilizzare i modelli di avvio EC2 e nella configurazione delle impostazioni di crittografia in tali modelli. È possibile applicare la crittografia come standard e garantire l'uso di impostazioni di crittografia coerenti. È inoltre possibile ridurre il rischio di errori e lacune di sicurezza che potrebbero verificarsi con l'avvio manuale delle istanze.
**Nota**
Quando questo controllo verifica un modello di avvio EC2, valuta solo le impostazioni di crittografia EBS specificate esplicitamente dal modello. La valutazione non include le impostazioni di crittografia ereditate dalle impostazioni di crittografia EBS a livello di account, dalle mappature dei dispositivi a blocchi AMI o dagli stati di crittografia degli snapshot di origine.
### Correzione
Dopo aver creato un modello di lancio di Amazon EC2, non puoi modificarlo. Tuttavia, puoi creare una nuova versione di un modello di lancio e modificare le impostazioni di crittografia in quella nuova versione del modello. Puoi anche specificare la nuova versione come versione predefinita del modello di lancio. Quindi, se avvii un'istanza EC2 da un modello di avvio e non specifichi una versione del modello, EC2 utilizza le impostazioni della versione predefinita quando avvia l'istanza. Per ulteriori informazioni, consulta [Modificare un modello di lancio](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/manage-launch-template-versions.html) nella *Amazon EC2 User Guide*.
## [EC2.182] Gli snapshot di Amazon EBS non devono essere accessibili al pubblico
**Categoria:** Protezione > Configurazione di rete sicura > Risorse non accessibili al pubblico
**Gravità:** alta
**Tipo di risorsa:** `AWS::EC2::SnapshotBlockPublicAccess`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ebs-snapshot-block-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/ebs-snapshot-block-public-access.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Il controllo verifica se il blocco dell'accesso pubblico è abilitato per bloccare tutte le condivisioni di snapshot di Amazon EBS. Il controllo fallisce se il blocco dell'accesso pubblico non è abilitato per bloccare tutte le condivisioni per tutte le istantanee di Amazon EBS.
Per impedire la condivisione pubblica degli snapshot di Amazon EBS, puoi abilitare l'accesso pubblico a blocchi per gli snapshot. Una volta abilitato l'accesso pubblico a blocchi per le istantanee in una regione, qualsiasi tentativo di condividere pubblicamente le istantanee in quella regione viene automaticamente bloccato. Questo aiuta a migliorare la sicurezza delle istantanee e a proteggere i dati delle istantanee da accessi non autorizzati o non intenzionali.
### Correzione
Per abilitare l'accesso pubblico a blocchi per gli snapshot, consulta [Configurare l'accesso pubblico a blocchi per gli snapshot di Amazon EBS](https://docs.aws.amazon.com/ebs/latest/userguide/block-public-access-snapshots-enable.html) nella *Amazon EBS* User Guide. Per **Blocca l'accesso pubblico**, scegli **Blocca** tutti gli accessi pubblici.
# Controlli CSPM di Security Hub per Auto Scaling
Questi controlli CSPM di Security Hub valutano il servizio e le risorse EC2 di Amazon Auto Scaling.
Questi controlli potrebbero non essere disponibili tutti. Regioni AWS Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [AutoScaling.1] I gruppi di Auto Scaling associati a un sistema di bilanciamento del carico devono utilizzare i controlli di integrità ELB
**Requisiti correlati:** PCI DSS v3.2.1/2.2, NIST.800-53.r5 CP-2 (2), NIST.800-53.r5 SI-2 NIST.800-53.r5 CA-7
**Categoria:** Identificazione > Inventario
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::AutoScaling::AutoScalingGroup`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-group-elb-healthcheck-required.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-group-elb-healthcheck-required.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un gruppo Amazon EC2 Auto Scaling associato a un sistema di bilanciamento del carico utilizza i controlli di integrità Elastic Load Balancing (ELB). Il controllo fallisce se il gruppo Auto Scaling non utilizza i controlli di integrità ELB.
I controlli di integrità ELB aiutano a garantire che un gruppo di Auto Scaling possa determinare lo stato di un'istanza sulla base di test aggiuntivi forniti dal sistema di bilanciamento del carico. L'utilizzo dei controlli di integrità di Elastic Load Balancing aiuta anche a supportare la disponibilità delle applicazioni che utilizzano i gruppi di Auto EC2 Scaling.
### Correzione
Per aggiungere i controlli di integrità di Elastic Load Balancing, consulta [Add Elastic Load Balancing health](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-add-elb-healthcheck.html#as-add-elb-healthcheck-console) check nella Amazon *Auto EC2 Scaling* User Guide.
## [AutoScaling.2] Il gruppo Amazon EC2 Auto Scaling dovrebbe coprire più zone di disponibilità
**Requisiti correlati:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2(2), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5)
**Categoria: Recupero > Resilienza > Alta disponibilità**
**Gravità:** media
**Tipo di risorsa:** `AWS::AutoScaling::AutoScalingGroup`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-multiple-az.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-multiple-az.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| `minAvailabilityZones` | Numero minimo di zone di disponibilità | Enum | `2, 3, 4, 5, 6` | `2` |
Questo controllo verifica se un gruppo Amazon EC2 Auto Scaling copre almeno il numero specificato di zone di disponibilità (). AZs Il controllo fallisce se un gruppo Auto Scaling non copre almeno il numero specificato di. AZs A meno che non si fornisca un valore di parametro personalizzato per il numero minimo di AZs, Security Hub CSPM utilizza un valore predefinito pari a due. AZs
Un gruppo di Auto Scaling che non si estende su più aree non AZs può avviare istanze in un'altra zona per compensare l'eventuale indisponibilità della singola AZ configurata. Tuttavia, un gruppo di Auto Scaling con una singola zona di disponibilità può essere preferito in alcuni casi d'uso, come i lavori in batch o quando i costi di trasferimento tra le AZ devono essere ridotti al minimo. In questi casi, è possibile disabilitare questo controllo o eliminarne i risultati.
### Correzione
Per aggiungere AZs a un gruppo Auto Scaling esistente, consulta [Aggiungere e rimuovere zone di disponibilità](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-add-availability-zone.html) nella *Amazon Auto EC2 Scaling* User Guide.
## [AutoScaling.3] Le configurazioni di avvio del gruppo Auto Scaling devono EC2 configurare le istanze in modo da richiedere Instance Metadata Service versione 2 () IMDSv2
**Requisiti correlati:** NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), (7), NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 AC-3 NIST.800-53.r5 NIST.800-53.r5 AC-6 CM-2, PCI DSS v4.0.1/2.2.6
**Categoria:** Protezione > Configurazione di rete protetta
**Gravità:** alta
**Tipo di risorsa:** `AWS::AutoScaling::LaunchConfiguration`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launchconfig-requires-imdsv2.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launchconfig-requires-imdsv2.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se IMDSv2 è abilitato su tutte le istanze avviate dai gruppi Amazon EC2 Auto Scaling. Il controllo fallisce se la versione di Instance Metadata Service (IMDS) non è inclusa nella configurazione di avvio o è configurata come`token optional`, ovvero un'impostazione che consente o. IMDSv1 IMDSv2
IMDS fornisce dati sull'istanza che puoi utilizzare per configurare o gestire l'istanza in esecuzione.
La versione 2 dell'IMDS aggiunge nuove protezioni che non erano disponibili IMDSv1 per proteggere ulteriormente le istanze. EC2
### Correzione
Un gruppo Auto Scaling è associato a una configurazione di avvio alla volta. Non è possibile modificare una configurazione di avvio dopo averla creata. Per modificare la configurazione di avvio per un gruppo Auto Scaling, utilizzate una configurazione di avvio esistente come base per una nuova configurazione di avvio con IMDSv2 enabled. Per ulteriori informazioni, consulta [Configurare le opzioni dei metadati delle istanze per le nuove istanze](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-IMDS-new-instances.html) nella *Amazon EC2 User Guide*.
## [AutoScaling.4] La configurazione di avvio del gruppo Auto Scaling non deve avere un limite di hop di risposta ai metadati superiore a 1
**Importante**
Security Hub CSPM ha ritirato questo controllo nell'aprile 2024. Per ulteriori informazioni, consulta [Registro delle modifiche per i controlli CSPM di Security Hub](controls-change-log.md).
**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2 (2)
**Categoria:** Protezione > Configurazione di rete protetta
**Gravità:** alta
**Tipo di risorsa:** `AWS::AutoScaling::LaunchConfiguration`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-config-hop-limit.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-config-hop-limit.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica il numero di hop di rete che un token di metadati può percorrere. Il controllo ha esito negativo se il limite dell'hop di risposta ai metadati è maggiore di. `1`
L'Instance Metadata Service (IMDS) fornisce informazioni sui metadati su un' EC2 istanza Amazon ed è utile per la configurazione delle applicazioni. La limitazione della `PUT` risposta HTTP per il servizio di metadati alla sola EC2 istanza protegge l'IMDS dall'uso non autorizzato.
Il campo Time To Live (TTL) nel pacchetto IP viene ridotto di uno per ogni hop. Questa riduzione può essere utilizzata per garantire che il pacchetto non viaggi all'esterno. EC2 IMDSv2 protegge EC2 le istanze che potrebbero essere state configurate erroneamente come router aperti, firewall di livello 3, tunnel o dispositivi NAT VPNs, impedendo così agli utenti non autorizzati di recuperare i metadati. Con IMDSv2, la `PUT` risposta che contiene il token segreto non può uscire dall'istanza perché il limite di hop di risposta ai metadati predefinito è impostato su. `1` Tuttavia, se questo valore è maggiore di`1`, il token può lasciare l' EC2 istanza.
### Correzione
Per modificare il limite dell'hop di risposta ai metadati per una configurazione di avvio esistente, consulta [Modificare le opzioni dei metadati dell'istanza per le istanze esistenti](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-options.html#configuring-IMDS-existing-instances) nella *Amazon EC2 * User Guide.
## [Autoscaling.5] Le istanze EC2 Amazon avviate utilizzando le configurazioni di avvio del gruppo Auto Scaling non devono avere indirizzi IP pubblici
**Requisiti correlati:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), (21) NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (11) NIST.800-53.r5 AC-6, (16) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), (4), NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS NIST.800-53.r5 SC-7 v4.0.1/1.4.4 NIST.800-53.r5 SC-7
**Categoria:** Protezione > Configurazione di rete sicura > Risorse non accessibili al pubblico
**Gravità:** alta
**Tipo di risorsa:** `AWS::AutoScaling::LaunchConfiguration`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-config-public-ip-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-config-public-ip-disabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se la configurazione di avvio associata a un gruppo di Auto Scaling assegna un [indirizzo IP pubblico](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-instance-addressing.html#public-ip-addresses) alle istanze del gruppo. Il controllo fallisce se la configurazione di avvio associata assegna un indirizzo IP pubblico.
EC2 Le istanze Amazon in una configurazione di avvio di gruppo Auto Scaling non devono avere un indirizzo IP pubblico associato, tranne in casi limite limitati. EC2 Le istanze Amazon dovrebbero essere accessibili solo da un sistema di bilanciamento del carico anziché essere esposte direttamente a Internet.
### Correzione
Un gruppo Auto Scaling è associato a una configurazione di avvio alla volta. Non è possibile modificare una configurazione di avvio dopo averla creata. Per modificare la configurazione di avvio per un gruppo con scalabilità automatica, utilizza una configurazione di avvio esistente come base per una nuova configurazione. Quindi, aggiorna il gruppo Auto Scaling affinché utilizzi la nuova configurazione di avvio. Per step-by-step istruzioni, consulta [Modificare la configurazione di avvio per un gruppo Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/change-launch-config.html) nella *Amazon Auto EC2 Scaling User Guide*. Quando crei la nuova configurazione di avvio, in **Configurazione aggiuntiva**, per **Dettagli avanzati, tipo di indirizzo IP**, scegli **Non assegnare un indirizzo IP pubblico a** nessuna istanza.
Dopo aver modificato la configurazione di avvio, Auto Scaling avvia nuove istanze con le nuove opzioni di configurazione. Le istanze esistenti non sono interessate. Per aggiornare un'istanza esistente, ti consigliamo di aggiornare l'istanza o di consentire il ridimensionamento automatico per sostituire gradualmente le istanze più vecchie con quelle più recenti in base alle tue politiche di terminazione. *Per ulteriori informazioni sull'aggiornamento delle istanze di Auto Scaling, consulta Update Auto [Scaling istances nella Amazon Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/update-auto-scaling-group.html#update-auto-scaling-instances) User Guide. EC2 *
## [AutoScaling.6] I gruppi di Auto Scaling devono utilizzare più tipi di istanze in più zone di disponibilità
**Requisiti correlati:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2(2), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
**Categoria: Recupero > Resilienza > Alta disponibilità**
**Gravità:** media
**Tipo di risorsa:** `AWS::AutoScaling::AutoScalingGroup`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-multiple-instance-types.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-multiple-instance-types.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un gruppo Amazon EC2 Auto Scaling utilizza più tipi di istanze. Il controllo fallisce se il gruppo Auto Scaling ha un solo tipo di istanza definito.
È possibile aumentare la disponibilità distribuendo l’applicazione su più tipi di istanze in esecuzione in più zone di disponibilità. Security Hub CSPM consiglia di utilizzare più tipi di istanze in modo che il gruppo Auto Scaling possa avviare un altro tipo di istanza se la capacità delle istanze nelle zone di disponibilità scelte è insufficiente.
### Correzione
Per creare un gruppo Auto Scaling con più tipi di istanze, consulta [Gruppi di Auto Scaling con più tipi di istanze e opzioni di acquisto](https://docs.aws.amazon.com/autoscaling/ec2/userguide/ec2-auto-scaling-mixed-instances-groups.html) nella Amazon *Auto EC2 Scaling* User Guide.
## [AutoScaling.9] I gruppi Amazon EC2 Auto Scaling devono utilizzare i modelli di lancio di Amazon EC2
**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2 (2)
**Categoria**: Identificazione > Configurazione delle risorse
**Gravità:** media
**Tipo di risorsa:** `AWS::AutoScaling::AutoScalingGroup`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-template.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-template.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un gruppo Amazon EC2 Auto Scaling viene creato a partire da un modello di EC2 lancio. Questo controllo fallisce se un gruppo Amazon EC2 Auto Scaling non viene creato con un modello di lancio o se un modello di avvio non è specificato in una politica a istanze miste.
Un gruppo EC2 Auto Scaling può essere creato da un modello di EC2 avvio o da una configurazione di avvio. Tuttavia, l'utilizzo di un modello di avvio per creare un gruppo Auto Scaling garantisce l'accesso alle funzionalità e ai miglioramenti più recenti.
### Correzione
Per creare un gruppo Auto Scaling con un modello di EC2 lancio, consulta [Creare un gruppo Auto Scaling utilizzando un modello di avvio](https://docs.aws.amazon.com/autoscaling/ec2/userguide/create-asg-launch-template.html) nella Amazon *Auto EC2 Scaling* User Guide. Per informazioni su come sostituire una configurazione di avvio con un modello di avvio, consulta [Sostituire una configurazione di avvio con un modello di avvio](https://docs.aws.amazon.com/autoscaling/ec2/userguide/replace-launch-config.html) nella *Amazon EC2 User Guide*.
## [AutoScaling.10] I gruppi EC2 Auto Scaling devono essere etichettati
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::AutoScaling::AutoScalingGroup`
**AWS Config regola:** `tagged-autoscaling-autoscalinggroup` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un gruppo Amazon EC2 Auto Scaling dispone di tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se il gruppo Auto Scaling non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro. `requiredTagKeys` Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il gruppo Auto Scaling non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
Per aggiungere tag a un gruppo di Auto Scaling, consulta [Gruppi e istanze di Tag Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/ec2-auto-scaling-tagging.html) nella *Amazon EC2 Auto Scaling* User Guide.
# Controlli CSPM del Security Hub per Amazon ECR
Questi controlli CSPM di Security Hub valutano il servizio e le risorse Amazon Elastic Container Registry (Amazon ECR).
Questi controlli potrebbero non essere disponibili tutti. Regioni AWS Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [ECR.1] Gli archivi privati ECR devono avere la scansione delle immagini configurata
**Requisiti correlati: PCI DSS NIST.800-53.r5 RA-5 v4.0.1/6.2.3**, PCI DSS v4.0.1/6.2.4
**Categoria**: Identificazione > Gestione di vulnerabilità, patch e versioni
**Gravità:** alta
**Tipo di risorsa:** `AWS::ECR::Repository`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-image-scanning-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-image-scanning-enabled.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se in un repository Amazon ECR privato è configurata la scansione delle immagini. Il controllo fallisce se l'archivio ECR privato non è configurato per la scansione in modalità push o la scansione continua.
La scansione delle immagini ECR aiuta a identificare le vulnerabilità del software nelle immagini dei contenitori. La configurazione della scansione delle immagini negli archivi ECR aggiunge un livello di verifica dell'integrità e della sicurezza delle immagini archiviate.
### Correzione
Per configurare la scansione delle immagini per un repository ECR, consulta [Scansione delle immagini](https://docs.aws.amazon.com//AmazonECR/latest/userguide/image-scanning.html) nella *Amazon Elastic Container Registry User Guide*.
## [ECR.2] I repository privati ECR devono avere l'immutabilità dei tag configurata
**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-8 (1)
**Categoria**: Identificazione > Inventario > Etichettatura
**Gravità:** media
**Tipo di risorsa:** `AWS::ECR::Repository`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-tag-immutability-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-tag-immutability-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un repository ECR privato ha l'immutabilità dei tag abilitata. Questo controllo ha esito negativo se in un repository ECR privato l'immutabilità dei tag è disabilitata. Questa regola è valida se l'immutabilità dei tag è abilitata e ha il valore. `IMMUTABLE`
Amazon ECR Tag Immutability consente ai clienti di fare affidamento sui tag descrittivi di un'immagine come meccanismo affidabile per tracciare e identificare in modo univoco le immagini. Un tag immutabile è statico, il che significa che ogni tag fa riferimento a un'immagine unica. Ciò migliora l'affidabilità e la scalabilità poiché l'uso di un tag statico porterà sempre alla distribuzione della stessa immagine. Una volta configurata, l'immutabilità dei tag impedisce che i tag vengano sovrascritti, riducendo la superficie di attacco.
### Correzione
Per creare un repository con tag immutabili configurati o per aggiornare le impostazioni di mutabilità dei tag di immagine per un repository esistente, consulta [Image tag mutability nella](https://docs.aws.amazon.com//AmazonECR/latest/userguide/image-tag-mutability.html) *Amazon* Elastic Container Registry User Guide.
## [ECR.3] I repository ECR devono avere almeno una politica del ciclo di vita configurata
**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2 (2)
**Categoria**: Identificazione > Configurazione delle risorse
**Gravità:** media
**Tipo di risorsa:** `AWS::ECR::Repository`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-lifecycle-policy-configured.html](https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-lifecycle-policy-configured.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un repository Amazon ECR ha almeno una policy del ciclo di vita configurata. Questo controllo fallisce se un repository ECR non ha alcuna politica del ciclo di vita configurata.
Le policy del ciclo di vita di Amazon ECR consentono di specificare la gestione del ciclo di vita delle immagini in un repository. Configurando le politiche del ciclo di vita, è possibile automatizzare la pulizia delle immagini non utilizzate e la scadenza delle immagini in base all'età o al numero di immagini. L'automazione di queste attività può aiutarti a evitare l'uso involontario di immagini obsolete nel tuo repository.
### Correzione
Per configurare una policy del ciclo di vita, consulta [Creating a lifecycle policy preview nella](https://docs.aws.amazon.com//AmazonECR/latest/userguide/lpp_creation.html) *Amazon Elastic Container* Registry User Guide.
## [ECR.4] Gli archivi pubblici ECR devono essere etichettati
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::ECR::PublicRepository`
**AWS Config regola:** `tagged-ecr-publicrepository` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un repository pubblico Amazon ECR dispone di tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se l'archivio pubblico non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro. `requiredTagKeys` Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'archivio pubblico non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
Per aggiungere tag a un repository pubblico ECR, consulta [Tagging an Amazon ECR public repository nella Amazon](https://docs.aws.amazon.com/AmazonECR/latest/public/ecr-public-using-tags.html) *Elastic* Container Registry User Guide.
## [ECR.5] I repository ECR devono essere crittografati e gestiti dal cliente AWS KMS keys
**Requisiti correlati:** NIST.800-53.r5 SC-1 2 (2), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8 (1), (10), (1), NIST.800-53.r5 SC-7 NIST.800-53.r5 SI-7 NIST.800-53.r5 CA-9 ( NIST.800-53.r5 SC-26), NIST.800-53.r5 AU-9
**Categoria**: Protezione > Protezione dei dati > Crittografia di data-at-rest
**Gravità:** media
**Tipo di risorsa:** `AWS::ECR::Repository`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecr-repository-cmk-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ecr-repository-cmk-encryption-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| `kmsKeyArns` | Un elenco di Amazon Resource Names (ARNs) AWS KMS keys da includere nella valutazione. Il controllo genera un `FAILED` risultato se un repository ECR non è crittografato con una chiave KMS nell'elenco. | StringList (massimo 10 articoli) | 1—10 ARNs delle chiavi KMS esistenti. Ad esempio: `arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab` | Nessun valore predefinito |
Questo controllo verifica se un repository Amazon ECR è crittografato quando è inattivo e gestito da un cliente. AWS KMS key Il controllo fallisce se l'archivio ECR non è crittografato con una chiave KMS gestita dal cliente. Facoltativamente, puoi specificare un elenco di chiavi KMS da includere nel controllo nella valutazione.
Per impostazione predefinita, Amazon ECR crittografa i dati del repository con chiavi gestite di Amazon S3 (SSE-S3), utilizzando un algoritmo AES-256. Per un controllo aggiuntivo, puoi configurare Amazon ECR per crittografare i dati con un AWS KMS key (SSE-KMS o DSSE-KMS). La chiave KMS può essere: una Chiave gestita da AWS che Amazon ECR crea e gestisce per te e ha l'alias`aws/ecr`, oppure una chiave gestita dal cliente che crei e gestisci nel tuo. Account AWS Con una chiave KMS gestita dal cliente, hai il pieno controllo della chiave. Ciò include la definizione e il mantenimento della politica chiave, la gestione delle sovvenzioni, la rotazione del materiale crittografico, l'assegnazione di tag, la creazione di alias e l'attivazione e la disabilitazione della chiave.
**Nota**
AWS KMS supporta l'accesso multiaccount alle chiavi KMS. Se un archivio ECR è crittografato con una chiave KMS di proprietà di un altro account, questo controllo non esegue controlli tra account quando valuta l'archivio. Il controllo non valuta se Amazon ECR può accedere e utilizzare la chiave durante l'esecuzione di operazioni crittografiche per il repository.
### Correzione
Non è possibile modificare le impostazioni di crittografia per un repository ECR esistente. Tuttavia, è possibile specificare diverse impostazioni di crittografia per gli archivi ECR che verranno creati successivamente. Amazon ECR supporta l'uso di diverse impostazioni di crittografia per singoli repository.
Per ulteriori informazioni sulle opzioni di crittografia per i repository ECR, consulta [Encryption at rest](https://docs.aws.amazon.com/AmazonECR/latest/userguide/encryption-at-rest.html) nella *Amazon ECR* User Guide. *Per ulteriori informazioni sulla gestione dei clienti AWS KMS keys, consulta la Developer [AWS KMS keys](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html)Guide.AWS Key Management Service *
# Controlli CSPM del Security Hub per Amazon ECS
Questi controlli CSPM di Security Hub valutano il servizio e le risorse Amazon Elastic Container Service (Amazon ECS). I controlli potrebbero non essere disponibili tutti. Regioni AWS Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [ECS.1] Le definizioni delle attività di Amazon ECS devono avere modalità di rete e definizioni utente sicure
**Importante**
Security Hub CSPM ha ritirato questo controllo nel marzo 2026. Per ulteriori informazioni, consulta [Registro delle modifiche per i controlli CSPM di Security Hub](controls-change-log.md). È possibile fare riferimento ai seguenti controlli per la valutazione della configurazione privilegiata, della configurazione della modalità di rete e della configurazione utente:
[[ECS.4] I contenitori ECS devono essere eseguiti come non privilegiati](#ecs-4)
[[ECS.17] Le definizioni delle attività ECS non devono utilizzare la modalità di rete host](#ecs-17)
[[ECS.20] Le definizioni delle attività ECS devono configurare gli utenti non root nelle definizioni dei container Linux](#ecs-20)
[[ECS.21] Le definizioni delle attività ECS devono configurare gli utenti non amministratori nelle definizioni dei contenitori Windows](#ecs-21)
**Requisiti correlati:** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6
**Categoria:** Protezione > Gestione degli accessi sicuri
**Gravità:** alta
**Tipo di risorsa:** `AWS::ECS::TaskDefinition`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-user-for-host-mode-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-user-for-host-mode-check.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
+ `SkipInactiveTaskDefinitions`: `true` (non personalizzabile)
Questo controllo verifica se una definizione di attività Amazon ECS attiva con modalità di rete host dispone di definizioni `privileged` di `user` container. Il controllo ha esito negativo per le definizioni di attività che hanno definizioni di modalità di rete host e contenitore `privileged=false` uguali, vuote e/o vuote. `user=root`
Questo controllo valuta solo l'ultima revisione attiva di una definizione di attività Amazon ECS.
Lo scopo di questo controllo è garantire che l'accesso sia definito intenzionalmente quando si eseguono attività che utilizzano la modalità di rete host. Se una definizione di attività ha privilegi elevati, è perché hai scelto quella configurazione. Questo controllo verifica l'eventuale aumento imprevisto dei privilegi quando la definizione di un'attività ha la rete host abilitata e non si scelgono privilegi elevati.
### Correzione
Per informazioni su come aggiornare una definizione di attività, consulta la sezione [Aggiornamento di una definizione di attività](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition.html) nella *Amazon Elastic Container Service Developer Guide*.
Quando aggiorni una definizione di attività, non aggiorna le attività in esecuzione che sono state avviate dalla definizione di attività precedente. Per aggiornare un'attività in esecuzione, è necessario ridistribuire l'attività con la nuova definizione di attività.
## [ECS.2] Ai servizi ECS non devono essere assegnati automaticamente indirizzi IP pubblici
**Requisiti correlati:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4,, (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v4.0.1/1.4.4
**Categoria:** Protezione > Configurazione di rete sicura > Risorse non accessibili al pubblico
**Gravità:** alta
**Tipo di risorsa:** `AWS::ECS::Service`
**AWS Config regola:** `ecs-service-assign-public-ip-disabled` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:** nessuno
Questo controllo verifica se i servizi Amazon ECS sono configurati per assegnare automaticamente indirizzi IP pubblici. Se `AssignPublicIP` lo è, questo controllo fallisce. `ENABLED` Questo controllo viene eseguito se lo `AssignPublicIP` è`DISABLED`.
Un indirizzo IP pubblico è un indirizzo IP raggiungibile da Internet. Se avvii le istanze Amazon ECS con un indirizzo IP pubblico, le istanze Amazon ECS sono raggiungibili da Internet. I servizi Amazon ECS non devono essere accessibili al pubblico, in quanto ciò potrebbe consentire l'accesso involontario ai server delle applicazioni container.
### Correzione
**Innanzitutto, è necessario creare una definizione di attività per il cluster che utilizzi la modalità di `awsvpc` rete e specifichi FARGATE per.** `requiresCompatibilities` **Quindi, per la **configurazione di Compute**, scegli **Launch type** e FARGATE.** Infine, per il campo **Rete**, disattivate l'**IP pubblico per disabilitare l'**assegnazione automatica degli IP pubblici per il vostro servizio.
## [ECS.3] Le definizioni delle attività ECS non devono condividere lo spazio dei nomi dei processi dell'host
**Requisiti correlati: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5** CM-2
**Categoria**: Identifica > Configurazione delle risorse
**Gravità:** alta
**Tipo di risorsa:** `AWS::ECS::TaskDefinition`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-pid-mode-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-pid-mode-check.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se le definizioni delle attività di Amazon ECS sono configurate per condividere lo spazio dei nomi dei processi di un host con i relativi contenitori. Il controllo fallisce se la definizione dell'attività condivide lo spazio dei nomi del processo dell'host con i contenitori in esecuzione su di esso. Questo controllo valuta solo l'ultima revisione attiva di una definizione di attività Amazon ECS.
Uno spazio dei nomi PID (Process ID) fornisce la separazione tra i processi. Impedisce la visibilità dei processi di sistema e ne consente PIDs il riutilizzo, incluso il PID 1. Se lo spazio dei nomi PID dell'host è condiviso con i contenitori, consentirebbe ai contenitori di visualizzare tutti i processi sul sistema host. Ciò riduce i vantaggi dell'isolamento a livello di processo tra l'host e i contenitori. Queste circostanze potrebbero portare all'accesso non autorizzato ai processi sull'host stesso, inclusa la possibilità di manipolarli e terminarli. I clienti non devono condividere lo spazio dei nomi dei processi dell'host con i contenitori in esecuzione su di esso.
### Correzione
Per configurare la `pidMode` definizione di un'attività, consulta [i parametri di definizione dell'attività](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task_definition_parameters.html#task_definition_pidmode) nella Amazon Elastic Container Service Developer Guide.
## [ECS.4] I contenitori ECS devono essere eseguiti come non privilegiati
**Requisiti correlati:** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15) NIST.800-53.r5 AC-3, (7), NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6
**Categoria:** Protezione > Gestione sicura degli accessi > Restrizioni all'accesso degli utenti root
**Gravità:** alta
**Tipo di risorsa:** `AWS::ECS::TaskDefinition`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-containers-nonprivileged.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-containers-nonprivileged.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se il `privileged` parametro nella definizione del contenitore di Amazon ECS Task Definitions è impostato `true` su. Il controllo fallisce se questo parametro è uguale a`true`. Questo controllo valuta solo l'ultima revisione attiva di una definizione di attività Amazon ECS.
Ti consigliamo di rimuovere i privilegi elevati dalle definizioni delle attività ECS. Quando il parametro privilege è`true`, al contenitore vengono assegnati privilegi elevati sull'istanza del contenitore host (analogamente all'utente root).
### Correzione
Per configurare il `privileged` parametro su una definizione di attività, consulta [i parametri di definizione avanzata dei container](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task_definition_parameters.html#container_definition_security) nella Amazon Elastic Container Service Developer Guide.
## [ECS.5] Le definizioni delle attività ECS devono configurare i contenitori in modo che siano limitati all'accesso in sola lettura ai filesystem root
**Requisiti correlati:** NIST.800-53.r5 AC-2 (1), (15), NIST.800-53.r5 AC-3 ( NIST.800-53.r5 AC-37), NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6
**Categoria:** Protezione > Gestione degli accessi sicuri
**Gravità:** alta
**Tipo di risorsa:** `AWS::ECS::TaskDefinition`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-containers-readonly-access.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-containers-readonly-access.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se le definizioni delle attività ECS configurano i contenitori in modo che siano limitati all'accesso in sola lettura ai file system root montati. Il controllo ha esito negativo se il `readonlyRootFilesystem` parametro nelle definizioni dei contenitori della definizione delle attività ECS è impostato su o il parametro non esiste nella definizione del contenitore all'interno della definizione dell'attività. `false` Questo controllo valuta solo l'ultima revisione attiva di una definizione di attività Amazon ECS.
Se il `readonlyRootFilesystem` parametro è impostato su `true` in una definizione di attività Amazon ECS, al contenitore ECS viene concesso l'accesso in sola lettura al relativo file system root. Ciò riduce i vettori di attacco alla sicurezza perché il file system root dell'istanza del contenitore non può essere manomesso o scritto senza supporti espliciti di volume con autorizzazioni di lettura/scrittura per cartelle e directory del file system. L'attivazione di questa opzione rispetta anche il principio del privilegio minimo.
**Nota**
Il `readonlyRootFilesystem` parametro non è supportato per i contenitori Windows. Le definizioni delle attività `runtimePlatform` configurate per specificare una famiglia di `WINDOWS_SERVER` sistemi operativi sono contrassegnate come `NOT_APPLICABLE` e non genereranno risultati per questo controllo.
### Correzione
Per consentire a un contenitore Amazon ECS l'accesso in sola lettura al relativo file system root, aggiungi il `readonlyRootFilesystem` parametro alla definizione dell'attività per il contenitore e imposta il valore del parametro su. `true` Per informazioni sui parametri di definizione delle attività e su come aggiungerli a una definizione di attività, consulta [le definizioni delle attività di Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task_definitions.html) e [l'aggiornamento di una definizione di attività](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html) nella *Amazon Elastic Container Service Developer Guide*.
## [ECS.8] I segreti non devono essere passati come variabili di ambiente del contenitore
**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, PCI DSS v4.0.1/8.6.2
**Categoria**: Protezione > Sviluppo sicuro > Credenziali non codificate
**Gravità:** alta
**Tipo di risorsa:** `AWS::ECS::TaskDefinition`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-no-environment-secrets.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-no-environment-secrets.html)
**Tipo di pianificazione:** modifica attivata
**Parametri`secretKeys`:**`AWS_ACCESS_KEY_ID`,`AWS_SECRET_ACCESS_KEY`, `ECS_ENGINE_AUTH_DATA` (non personalizzabili)
Questo controllo verifica se il valore chiave di qualsiasi variabile nel `environment` parametro delle definizioni dei contenitori include `AWS_ACCESS_KEY_ID``AWS_SECRET_ACCESS_KEY`, o`ECS_ENGINE_AUTH_DATA`. Questo controllo ha esito negativo se una singola variabile di ambiente in qualsiasi definizione di contenitore è uguale a `AWS_ACCESS_KEY_ID``AWS_SECRET_ACCESS_KEY`, o. `ECS_ENGINE_AUTH_DATA` Questo controllo non copre le variabili ambientali trasmesse da altre postazioni come Amazon S3. Questo controllo valuta solo l'ultima revisione attiva di una definizione di attività Amazon ECS.
AWS Systems Manager Parameter Store può aiutarti a migliorare il livello di sicurezza della tua organizzazione. Ti consigliamo di utilizzare Parameter Store per archiviare segreti e credenziali invece di passarli direttamente alle istanze del contenitore o di codificarli nel codice.
### Correzione
Per creare parametri utilizzando SSM, vedere [Creazione dei parametri di Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-paramstore-su-create.html) nella *Guida per l'AWS Systems Manager utente*. Per ulteriori informazioni sulla creazione di una definizione di attività che specifichi un segreto, consulta [Specificare dati sensibili utilizzando Secrets Manager](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/specifying-sensitive-data-secrets.html#secrets-create-taskdefinition) nella *Amazon Elastic Container Service Developer Guide*.
## [ECS.9] Le definizioni delle attività ECS devono avere una configurazione di registrazione
**Requisiti correlati:** NIST.800-53.r5 AC-4 (26), (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-7 (8)
**Categoria:** Identificazione > Registrazione
**Gravità:** alta
**Tipo di risorsa:** `AWS::ECS::TaskDefinition`
**AWS Config regola: ecs-task-definition-log** [-configuration](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-log-configuration.html)
**Tipo di pianificazione: modifica attivata**
**Parametri:** nessuno
Questo controllo verifica se l'ultima definizione di attività attiva di Amazon ECS ha una configurazione di registrazione specificata. Il controllo fallisce se la definizione dell'attività non ha la `logConfiguration` proprietà definita o se il valore di `logDriver` è nullo in almeno una definizione di contenitore.
La registrazione aiuta a mantenere l'affidabilità, la disponibilità e le prestazioni di Amazon ECS. La raccolta di dati dalle definizioni delle attività offre visibilità, che può aiutarti a eseguire il debug dei processi e a trovare la causa principale degli errori. Se si utilizza una soluzione di registrazione che non deve essere definita nella definizione dell'attività ECS (ad esempio una soluzione di registrazione di terze parti), è possibile disabilitare questo controllo dopo aver verificato che i log vengano acquisiti e consegnati correttamente.
### Correzione
Per definire una configurazione di log per le definizioni delle attività di Amazon ECS, consulta [Specificare una configurazione di log nella definizione del task nella](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/using_awslogs.html#specify-log-config) *Amazon Elastic Container Service Developer Guide*.
## [ECS.10] I servizi ECS Fargate devono essere eseguiti sulla versione più recente della piattaforma Fargate
**Requisiti correlati:** NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2 (2), NIST.800-53.r5 SI-2 (4), NIST.800-53.r5 SI-2 (5), PCI DSS v4.0.1/6.3.3
**Categoria**: Identificazione > Gestione di vulnerabilità, patch e versioni
**Gravità:** media
**Tipo di risorsa:** `AWS::ECS::Service`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-fargate-latest-platform-version.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-fargate-latest-platform-version.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
+ `latestLinuxVersion: 1.4.0`(non personalizzabile)
+ `latestWindowsVersion: 1.0.0`(non personalizzabile)
Questo controllo verifica se i servizi Amazon ECS Fargate eseguono l'ultima versione della piattaforma Fargate. Questo controllo fallisce se la versione della piattaforma non è la più recente.
AWS Fargate le versioni della piattaforma si riferiscono a un ambiente di runtime specifico per l'infrastruttura di attività Fargate, che è una combinazione di versioni di runtime del kernel e del container. Le nuove versioni della piattaforma vengono rilasciate man mano che l'ambiente di runtime si evolve. Ad esempio, può essere rilasciata una nuova versione per aggiornamenti del kernel o del sistema operativo, nuove funzionalità, correzioni di bug o aggiornamenti di sicurezza. Gli aggiornamenti e le patch di sicurezza vengono implementati automaticamente per le attività Fargate. Se viene rilevato un problema di sicurezza che riguarda una versione della piattaforma, corregge la versione della AWS piattaforma.
### Correzione
Per aggiornare un servizio esistente, inclusa la versione della piattaforma, consulta la sezione [Aggiornamento di un servizio](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service.html) nella *Amazon Elastic Container Service Developer Guide*.
## [ECS.12] I cluster ECS devono utilizzare Container Insights
**Requisiti correlati**:, NIST.800-53.R5 SI-2 NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7
**Categoria:** Identificazione > Registrazione
**Gravità:** media
**Tipo di risorsa:** `AWS::ECS::Cluster`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-container-insights-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-container-insights-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se i cluster ECS utilizzano Container Insights. Questo controllo ha esito negativo se Container Insights non è configurato per un cluster.
Il monitoraggio è una parte importante del mantenimento dell'affidabilità, della disponibilità e delle prestazioni dei cluster Amazon ECS. Usa CloudWatch Container Insights per raccogliere, aggregare e riepilogare metriche e log delle tue applicazioni e microservizi containerizzati. CloudWatch raccoglie automaticamente le metriche per molte risorse, come CPU, memoria, disco e rete. Container Insights fornisce inoltre informazioni diagnostiche, ad esempio errori di riavvio del container, che consentono di isolare i problemi e risolverli in modo rapido. Puoi anche impostare CloudWatch allarmi sulle metriche raccolte da Container Insights.
### Correzione
Per utilizzare Container Insights, consulta la sezione [Aggiornamento di un servizio](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/deploy-container-insights-ECS.html) nella *Amazon CloudWatch User Guide*.
## [ECS.13] I servizi ECS devono essere etichettati
**Categoria: Identificazione > Inventario** > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::ECS::Service`
**AWS Config regola:** `tagged-ecs-service` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un servizio Amazon ECS dispone di tag con le chiavi specifiche definite nel parametro`requiredTagKeys`. Il controllo fallisce se il servizio non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il servizio non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice sull'etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
Per aggiungere tag a un servizio ECS, consulta [Tagging your Amazon ECS resources nella Amazon](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-using-tags.html) *Elastic Container Service* Developer Guide.
## [ECS.14] I cluster ECS devono essere etichettati
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::ECS::Cluster`
**AWS Config regola:** `tagged-ecs-cluster` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un cluster Amazon ECS dispone di tag con le chiavi specifiche definite nel parametro`requiredTagKeys`. Il controllo fallisce se il cluster non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il cluster non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice sull'etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
Per aggiungere tag a un cluster ECS, consulta [Tagging your Amazon ECS resources nella Amazon](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-using-tags.html) *Elastic Container Service* Developer Guide.
## [ECS.15] Le definizioni delle attività ECS devono essere contrassegnate
**Categoria: Identificazione > Inventario** > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::ECS::TaskDefinition`
**AWS Config regola:** `tagged-ecs-taskdefinition` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se una definizione di attività di Amazon ECS contiene tag con le chiavi specifiche definite nel parametro`requiredTagKeys`. Il controllo fallisce se la definizione dell'attività non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se la definizione dell'attività non è contrassegnata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice sull'etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
Per aggiungere tag a una definizione di attività ECS, consulta [Tagging your Amazon ECS resources nella Amazon](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-using-tags.html) *Elastic Container Service* Developer Guide.
## [ECS.16] I set di attività ECS non devono assegnare automaticamente indirizzi IP pubblici
**Requisiti correlati**: PCI DSS v4.0.1/1.4.4
**Categoria:** Protezione > Configurazione sicura della rete > Risorse non accessibili al pubblico
**Gravità:** alta
**Tipo di risorsa:** `AWS::ECS::TaskSet`
**AWS Config regola:** `ecs-taskset-assign-public-ip-disabled` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:** nessuno
Questo controllo verifica se un set di attività Amazon ECS è configurato per l'assegnazione automatica di indirizzi IP pubblici. Il controllo fallisce se `AssignPublicIP` è impostato su. `ENABLED`
Un indirizzo IP pubblico è raggiungibile da Internet. Se si configura il set di attività con un indirizzo IP pubblico, le risorse associate al set di attività possono essere raggiunte da Internet. I set di attività ECS non dovrebbero essere accessibili al pubblico, in quanto ciò potrebbe consentire l'accesso involontario ai server delle applicazioni container.
### Correzione
Per aggiornare un set di attività ECS in modo che non utilizzi un indirizzo IP pubblico, consulta [Aggiornare una definizione di attività Amazon ECS utilizzando la console](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html) nella *Amazon Elastic Container Service Developer* Guide.
## [ECS.17] Le definizioni delle attività ECS non devono utilizzare la modalità di rete host
**Requisiti correlati:** NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6
**Categoria:** Protezione > Configurazione di rete protetta
**Gravità:** media
**Tipo di risorsa:** `AWS::ECS::TaskDefinition`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-network-mode-not-host.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-network-mode-not-host.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se l'ultima revisione attiva di una definizione di attività Amazon ECS utilizza la modalità di `host` rete. Il controllo fallisce se l'ultima revisione attiva della definizione del task ECS utilizza la modalità di rete. `host`
Quando si utilizza la modalità di `host` rete, la rete di un contenitore Amazon ECS è collegata direttamente all'host sottostante che esegue il contenitore. Di conseguenza, questa modalità consente ai contenitori di connettersi ai servizi di rete di loopback privati sull'host e di impersonare l'host. Altri svantaggi significativi sono che non è possibile rimappare una porta container quando si utilizza la modalità di `host` rete e non è possibile eseguire più di una singola istanza di un'attività su ciascun host.
### Correzione
Per informazioni sulle modalità e le opzioni di rete per le attività di Amazon ECS ospitate su istanze Amazon EC2, consulta le [opzioni di task networking di Amazon ECS per il tipo di lancio EC2](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task-networking.html) nella *Amazon Elastic Container Service Developer Guide*. Per informazioni sulla creazione di una nuova revisione di una definizione di attività e sulla specificazione di una modalità di rete diversa, consulta [Updating an Amazon ECS task definition](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html) in quella guida.
Se la definizione di attività di Amazon ECS è stata creata da AWS Batch, consulta [Modalità di rete per i AWS Batch lavori per](https://docs.aws.amazon.com/batch/latest/userguide/networking-modes-jobs.html) conoscere le modalità di rete e l'utilizzo tipico dei tipi di AWS Batch lavoro e per scegliere un'opzione sicura.
## [ECS.18] Le definizioni delle attività ECS devono utilizzare la crittografia in transito per i volumi EFS
**Categoria: Proteggi > Crittografia** di data-in-transit
**Gravità:** media
**Tipo di risorsa:** `AWS::ECS::TaskDefinition`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-efs-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-efs-encryption-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se l'ultima revisione attiva di una definizione di attività Amazon ECS utilizza la crittografia in transito per i volumi EFS. Il controllo fallisce se l'ultima revisione attiva della definizione dell'attività ECS ha la crittografia in transito disabilitata per i volumi EFS.
I volumi Amazon EFS forniscono uno storage di file condiviso semplice, scalabile e persistente da utilizzare con le attività di Amazon ECS. Amazon EFS supporta la crittografia dei dati in transito con Transport Layer Security (TLS). Quando la crittografia dei dati in transito viene dichiarata come opzione di montaggio per il file system EFS, Amazon EFS stabilisce una connessione TLS sicura con il file system EFS al momento del montaggio del file system.
### Correzione
Per informazioni sull'attivazione della crittografia in transito per Amazon ECS Task Definition con volumi EFS, consulta la [Fase 5: Creare una definizione di attività](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/tutorial-efs-volumes.html#efs-task-def) nella *Amazon Elastic Container Service Developer Guide*.
## [ECS.19] I provider di capacità ECS dovrebbero avere abilitato la protezione gestita dalle terminazioni
**Categoria: Proteggi > Protezione** dei dati
**Gravità:** media
**Tipo di risorsa:** `AWS::ECS::CapacityProvider`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-capacity-provider-termination-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-capacity-provider-termination-check.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un provider di capacità Amazon ECS ha abilitato la protezione gestita delle terminazioni. Il controllo fallisce se la protezione gestita dalla terminazione non è abilitata su un provider di capacità ECS.
I provider di capacità Amazon ECS gestiscono il dimensionamento dell'infrastruttura per le attività nei cluster. Quando si utilizzano le istanze EC2 per la propria capacità, si utilizza il gruppo Auto Scaling per gestire le istanze EC2. La protezione dalla terminazione gestita consente al dimensionamento automatico del cluster di controllare quali istanze vengono terminate. Quando usi la protezione da terminazione gestita, Amazon ECS termina solo le istanze EC2 che non dispongono di attività Amazon ECS in esecuzione.
**Nota**
Quando utilizzi la protezione da terminazione gestita, devi utilizzare anche il dimensionamento gestito per farla funzionare.
### Correzione
Per abilitare la protezione gestita dalle terminazioni per un provider di capacità Amazon ECS, consulta [Updating managed termination protection for Amazon ECS capacity provider nella Amazon](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-managed-termination-protection.html) *Elastic Container* Service Developer Guide.
## [ECS.20] Le definizioni delle attività ECS devono configurare gli utenti non root nelle definizioni dei container Linux
**Categoria:** Protezione > Gestione sicura degli accessi > Restrizioni di accesso degli utenti root
**Gravità:** media
**Tipo di risorsa:** `AWS::ECS::TaskDefinition`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-linux-user-non-root.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-linux-user-non-root.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se l'ultima revisione attiva di una definizione di attività di Amazon ECS configura i contenitori Linux per l'esecuzione come utenti non root. Il controllo fallisce se è configurato un utente root predefinito o se la configurazione utente è assente per qualsiasi contenitore.
Quando i contenitori Linux vengono eseguiti con privilegi di root, presentano diversi rischi significativi per la sicurezza. Gli utenti root hanno accesso illimitato all'interno del contenitore. Questo accesso elevato aumenta il rischio di attacchi di fuga dai container, in cui un utente malintenzionato potrebbe potenzialmente uscire dall'isolamento dei container e accedere al sistema host sottostante. Se un container che funziona come root viene compromesso, gli aggressori possono sfruttarlo per accedere o modificare le risorse del sistema host, danneggiando altri contenitori o l'host stesso. Inoltre, l'accesso root potrebbe consentire attacchi di escalation dei privilegi, permettendo agli aggressori di ottenere autorizzazioni aggiuntive oltre all'ambito previsto dal contenitore. Il parametro user nelle definizioni delle attività ECS può specificare gli utenti in diversi formati, tra cui nome utente, ID utente, nome utente con gruppo o UID con ID di gruppo. È importante essere consapevoli di questi diversi formati durante la configurazione delle definizioni delle attività per garantire che non venga concesso inavvertitamente l'accesso root. Seguendo il principio del privilegio minimo, i contenitori devono funzionare con le autorizzazioni minime richieste utilizzando utenti non root. Questo approccio riduce in modo significativo la potenziale superficie di attacco e mitiga l'impatto di potenziali violazioni della sicurezza.
**Nota**
Questo controllo valuta le definizioni dei contenitori in una definizione di attività solo se `operatingSystemFamily` è configurato come `LINUX` o non `operatingSystemFamily` è configurato nella definizione dell'attività. Il controllo genererà un `FAILED` risultato per una definizione di attività valutata se una definizione di contenitore nella definizione dell'attività `user` non è stata configurata o `user` configurata come utente root predefinito. Gli utenti root predefiniti per i `LINUX` contenitori sono `"root"` e`"0"`.
### Correzione
Per informazioni sulla creazione di una nuova revisione di una definizione di attività di Amazon ECS e sull'aggiornamento del `user` parametro nella definizione del contenitore, consulta [Updating an Amazon ECS task defintion nella Amazon](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html) *Elastic Container* Service Developer Guide.
## [ECS.21] Le definizioni delle attività ECS devono configurare gli utenti non amministratori nelle definizioni dei contenitori Windows
**Categoria:** Protezione > Gestione sicura degli accessi > Restrizioni di accesso degli utenti root
**Gravità:** media
**Tipo di risorsa:** `AWS::ECS::TaskDefinition`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-windows-user-non-admin.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-windows-user-non-admin.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se l'ultima revisione attiva di una definizione di attività di Amazon ECS configura i contenitori Windows per l'esecuzione come utenti che non sono amministratori predefiniti. Il controllo fallisce se un amministratore predefinito è configurato come utente o la configurazione utente è assente per qualsiasi contenitore.
Quando i contenitori Windows vengono eseguiti con privilegi di amministratore, presentano diversi rischi significativi per la sicurezza. Gli amministratori hanno accesso illimitato all'interno del contenitore. Questo accesso elevato aumenta il rischio di attacchi di fuga dai container, in cui un utente malintenzionato potrebbe potenzialmente uscire dall'isolamento dei container e accedere al sistema host sottostante.
**Nota**
Questo controllo valuta le definizioni dei contenitori in una definizione di attività solo se `operatingSystemFamily` è configurato come `WINDOWS_SERVER` o non `operatingSystemFamily` è configurato nella definizione dell'attività. Il controllo genererà un `FAILED` risultato per una definizione di attività valutata se una definizione di contenitore nella definizione dell'attività `user` non è stata configurata o `user` configurata come amministratore predefinito per `WINDOWS_SERVER` i contenitori, ovvero. `"containeradministrator"`
### Correzione
Per informazioni sulla creazione di una nuova revisione di una definizione di attività di Amazon ECS e sull'aggiornamento del `user` parametro nella definizione del contenitore, consulta [Updating an Amazon ECS task defintion nella Amazon](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html) *Elastic Container* Service Developer Guide.
# Controlli CSPM del Security Hub per Amazon EFS
Questi controlli CSPM di Security Hub valutano il servizio e le risorse Amazon Elastic File System (Amazon EFS). I controlli potrebbero non essere disponibili tutti. Regioni AWS Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [EFS.1] Elastic File System deve essere configurato per crittografare i dati dei file inattivi utilizzando AWS KMS
**Requisiti correlati:** CIS AWS Foundations Benchmark v5.0.0/2.3.1, CIS AWS Foundations Benchmark v3.0.0/2.4.1, (1), 3, 8 (1), 8 NIST.800-53.r5 CA-9 (1), (10), NIST.800-53.r5 SI-7 (6) NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-7
**Categoria**: Protezione > Protezione dei dati > Crittografia di data-at-rest
**Gravità:** media
**Tipo di risorsa:** `AWS::EFS::FileSystem`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se Amazon Elastic File System è configurato per crittografare i dati dei file utilizzando AWS KMS. Il controllo non riesce nei seguenti casi.
+ `Encrypted` è impostato su `false` nella risposta [https://docs.aws.amazon.com/efs/latest/ug/API_DescribeFileSystems.html](https://docs.aws.amazon.com/efs/latest/ug/API_DescribeFileSystems.html).
+ La chiave `KmsKeyId` nella risposta [https://docs.aws.amazon.com/efs/latest/ug/API_DescribeFileSystems.html](https://docs.aws.amazon.com/efs/latest/ug/API_DescribeFileSystems.html) non corrisponde al parametro `KmsKeyId` per [https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html).
Questo controllo non utilizza il parametro `KmsKeyId` per [https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html). Controlla solo il valore di `Encrypted`.
Per un ulteriore livello di sicurezza per i dati sensibili in Amazon EFS, è necessario creare file system crittografati. Amazon EFS supporta la crittografia per i file system inattivi. Puoi abilitare la crittografia dei dati inattivi quando crei un file system Amazon EFS. Per ulteriori informazioni sulla crittografia Amazon EFS, consulta la sezione [Crittografia dei dati in Amazon EFS](https://docs.aws.amazon.com/efs/latest/ug/encryption.html) nella *Amazon Elastic File System User Guide*.
### Correzione
Per dettagli su come crittografare un nuovo file system Amazon EFS, [consulta Encrypting data at rest](https://docs.aws.amazon.com/efs/latest/ug/encryption-at-rest.html) nella *Amazon Elastic File System User* Guide.
## [EFS.2] I volumi Amazon EFS devono essere inclusi nei piani di backup
**Requisiti correlati:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-12, NIST.800-53.r5 SI-13 (5)
**Categoria:** Recupero > Resilienza > Backup
**Gravità:** media
**Tipo di risorsa:** `AWS::EFS::FileSystem`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/efs-in-backup-plan.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-in-backup-plan.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se i file system Amazon Elastic File System (Amazon EFS) vengono aggiunti ai piani di backup in AWS Backup. Il controllo fallisce se i file system Amazon EFS non sono inclusi nei piani di backup.
L'inclusione dei file system EFS nei piani di backup consente di proteggere i dati dall'eliminazione e dalla perdita di dati.
### Correzione
Per abilitare i backup automatici per un file system Amazon EFS esistente, consulta [Getting started 4: Create backup automatici di Amazon EFS](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-auto-backup.html) nella *AWS Backup Developer* Guide.
## [EFS.3] I punti di accesso EFS devono applicare una directory principale
**Requisiti correlati:** NIST.800-53.r5 AC-6 (10)
**Categoria:** Protezione > Gestione degli accessi sicuri
**Gravità:** media
**Tipo di risorsa:** `AWS::EFS::AccessPoint`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/efs-access-point-enforce-root-directory.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-access-point-enforce-root-directory.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se i punti di accesso Amazon EFS sono configurati per applicare una directory principale. Il controllo fallisce se il valore di `Path` è impostato su `/` (la directory principale predefinita del file system).
Quando applichi una directory radice, il client NFS che utilizza il punto di accesso usa la directory radice configurata sul punto di accesso anziché la directory radice del file system. L'applicazione di una directory principale per un punto di accesso consente di limitare l'accesso ai dati garantendo che gli utenti del punto di accesso possano accedere solo ai file della sottodirectory specificata.
### Correzione
Per istruzioni su come applicare una directory principale per un punto di accesso Amazon EFS, consulta Implementazione di [una directory principale con un punto di accesso](https://docs.aws.amazon.com/efs/latest/ug/efs-access-points.html#enforce-root-directory-access-point) nella *Amazon Elastic File System User* Guide.
## [EFS.4] I punti di accesso EFS devono applicare un'identità utente
**Requisiti correlati:** NIST.800-53.r5 AC-6 (2), PCI DSS v4.0.1/7.3.1
**Categoria:** Protezione > Gestione degli accessi sicuri
**Gravità:** media
**Tipo di risorsa:** `AWS::EFS::AccessPoint`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/efs-access-point-enforce-user-identity.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-access-point-enforce-user-identity.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se i punti di accesso Amazon EFS sono configurati per applicare un'identità utente. Questo controllo ha esito negativo se non viene definita un'identità utente POSIX durante la creazione del punto di accesso EFS.
I punti di accesso Amazon EFS sono punti di accesso specifici dell'applicazione in un file system EFS che semplificano la gestione dell'accesso dell'applicazione ai set di dati condivisi. I punti di accesso possono applicare un’identità utente, inclusi i gruppi dell’utente POSIX, per tutte le richieste al file system effettuate tramite il punto di accesso. I punti di accesso possono inoltre applicare una directory radice diversa per il file system in modo che i client possano accedere solo ai dati nella directory specificata o nelle sue sottodirectory.
### Correzione
Per applicare un'identità utente per un punto di accesso Amazon EFS, consulta [Applica un'identità utente utilizzando un punto di accesso](https://docs.aws.amazon.com/efs/latest/ug/efs-access-points.html#enforce-identity-access-points) nella *Amazon Elastic File System User* Guide.
## [EFS.5] I punti di accesso EFS devono essere etichettati
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::EFS::AccessPoint`
**AWS Config regola:** `tagged-efs-accesspoint` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un punto di accesso Amazon EFS dispone di tag con le chiavi specifiche definite nel parametro`requiredTagKeys`. Il controllo fallisce se il punto di accesso non dispone di chiavi di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il punto di accesso non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
Per aggiungere tag a un punto di accesso EFS, consulta la sezione [Tagging delle risorse Amazon EFS](https://docs.aws.amazon.com/efs/latest/ug/manage-fs-tags.html) nella *Amazon Elastic File System User Guide*.
## [EFS.6] I target di montaggio EFS non devono essere associati a sottoreti che assegnano indirizzi IP pubblici all'avvio
**Categoria:** Protezione > Sicurezza della rete > Risorse non accessibili al pubblico
**Gravità:** media
**Tipo di risorsa:** `AWS::EFS::FileSystem`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/efs-mount-target-public-accessible.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-mount-target-public-accessible.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se un target di montaggio Amazon EFS è associato a sottoreti che assegnano indirizzi IP pubblici all'avvio. Il controllo fallisce se la destinazione di montaggio è associata a sottoreti che assegnano indirizzi IP pubblici all'avvio.
Le sottoreti dispongono di attributi che determinano se le interfacce di rete ricevono automaticamente indirizzi e indirizzi pubblici. IPv4 IPv6 Infatti IPv4, questo attributo è impostato su `TRUE` per le sottoreti predefinite e `FALSE` per le sottoreti non predefinite (ad eccezione delle sottoreti non predefinite create tramite la procedura guidata di avvio dell'istanza EC2, dove è impostato su). `TRUE` Per impostazione predefinita IPv6, questo attributo è impostato su per tutte le sottoreti. `FALSE` Quando questi attributi sono abilitati, le istanze avviate nella sottorete ricevono automaticamente gli indirizzi IP (IPv4 o IPv6) corrispondenti sulla loro interfaccia di rete principale. Gli obiettivi di montaggio di Amazon EFS che vengono lanciati in sottoreti con questo attributo abilitato hanno un indirizzo IP pubblico assegnato alla loro interfaccia di rete principale.
### Correzione
Per associare una destinazione di montaggio esistente a una sottorete diversa, devi creare una nuova destinazione di montaggio in una sottorete che non assegni indirizzi IP pubblici all'avvio e quindi rimuovere la vecchia destinazione di montaggio. Per informazioni sulla gestione degli obiettivi di montaggio, consulta [Creazione e gestione di destinazioni di montaggio e gruppi di sicurezza](https://docs.aws.amazon.com/efs/latest/ug/accessing-fs.html) nella *Amazon Elastic File System User Guide*.
## [EFS.7] I file system EFS devono avere i backup automatici abilitati
**Categoria:** Recover > Resilience > Backup abilitati
**Gravità:** media
**Tipo di risorsa:** `AWS::EFS::FileSystem`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/efs-automatic-backups-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-automatic-backups-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un file system Amazon EFS ha i backup automatici abilitati. Questo controllo fallisce se il file system EFS non ha i backup automatici abilitati.
Un backup dei dati è una copia dei dati del sistema, della configurazione o dell'applicazione archiviata separatamente dall'originale. L'attivazione di backup regolari consente di proteggere dati importanti da eventi imprevisti come guasti del sistema, attacchi informatici o eliminazioni accidentali. Una solida strategia di backup facilita anche un ripristino più rapido, la continuità aziendale e la tranquillità di fronte alla potenziale perdita di dati.
### Correzione
Per informazioni sull'utilizzo AWS Backup per i file system EFS, consulta [Backup up EFS file system](https://docs.aws.amazon.com/efs/latest/ug/awsbackup.html) nella *Amazon Elastic File System User Guide*.
## [EFS.8] I file system EFS devono essere crittografati quando sono inattivi
**Requisiti correlati:** CIS Foundations Benchmark AWS v5.0.0/2.3.1
**Categoria: Protezione > Protezione dei dati > Crittografia** di data-at-rest
**Gravità:** media
**Tipo di risorsa:** `AWS::EFS::FileSystem`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/efs-filesystem-ct-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-filesystem-ct-encrypted.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un file system Amazon EFS crittografa i dati con AWS Key Management Service (AWS KMS). Il controllo fallisce se un file system non è crittografato.
I dati inattivi si riferiscono ai dati archiviati in uno storage persistente e non volatile per qualsiasi durata. La crittografia dei dati inutilizzati consente di proteggerne la riservatezza, riducendo il rischio che un utente non autorizzato possa accedervi.
### Correzione
Per abilitare la crittografia a riposo per un nuovo file system EFS, [consulta Encrypting data at rest](https://docs.aws.amazon.com/efs/latest/ug/encryption-at-rest.html) nella *Amazon Elastic File System User Guide*.
# Controlli CSPM del Security Hub per Amazon EKS
Questi controlli CSPM di Security Hub valutano il servizio e le risorse Amazon Elastic Kubernetes Service (Amazon EKS). I controlli potrebbero non essere disponibili in tutti. Regioni AWS Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [EKS.1] Gli endpoint del cluster EKS non dovrebbero essere accessibili al pubblico
**Requisiti correlati:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4,, (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v4.0.1/1.4.4
**Categoria:** Protezione > Configurazione di rete sicura > Risorse non accessibili al pubblico
**Gravità:** alta
**Tipo di risorsa:** `AWS::EKS::Cluster`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/eks-endpoint-no-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/eks-endpoint-no-public-access.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se un endpoint del cluster Amazon EKS è accessibile pubblicamente. Il controllo fallisce se un cluster EKS ha un endpoint accessibile pubblicamente.
Quando crei un nuovo cluster, Amazon EKS crea un endpoint per il server API Kubernetes gestito che usi per comunicare con il cluster. Per impostazione predefinita, questo endpoint del server API è disponibile pubblicamente su Internet. L'accesso al server API è protetto utilizzando una combinazione di AWS Identity and Access Management (IAM) e RBAC (Role Based Access Control) nativo di Kubernetes. Rimuovendo l'accesso pubblico all'endpoint, puoi evitare l'esposizione e l'accesso involontari al tuo cluster.
### Correzione
Per modificare l'accesso agli endpoint per un cluster EKS esistente, consulta [Modificare l'accesso agli endpoint del cluster](https://docs.aws.amazon.com/eks/latest/userguide/cluster-endpoint.html#modify-endpoint-access) nella **Amazon EKS** User Guide. Puoi configurare l'accesso agli endpoint per un nuovo cluster EKS al momento della creazione. Per istruzioni sulla creazione di un nuovo cluster Amazon EKS, consulta [Creazione di un cluster Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/create-cluster.html) nella **Guida per l'utente di Amazon EKS**.
## [EKS.2] I cluster EKS devono essere eseguiti su una versione Kubernetes supportata
**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2 (2), NIST.800-53.r5 SI-2 (4), NIST.800-53.r5 SI-2 (5), PCI DSS v4.0.1/12.3.4
**Categoria**: Identificazione > Gestione di vulnerabilità, patch e versioni
**Gravità:** alta
**Tipo di risorsa:** `AWS::EKS::Cluster`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-supported-version.html](https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-supported-version.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
+ `oldestVersionSupported`: `1.33` (non personalizzabile)
Questo controllo verifica se un cluster Amazon Elastic Kubernetes Service (Amazon EKS) viene eseguito su una versione di Kubernetes supportata. Il controllo fallisce se il cluster EKS viene eseguito su una versione non supportata.
Se la tua applicazione non richiede una versione specifica di Kubernetes, ti consigliamo di utilizzare l'ultima versione di Kubernetes disponibile supportata da EKS per i tuoi cluster. **Per ulteriori informazioni, consulta il [calendario delle release di Amazon EKS Kubernetes](https://docs.aws.amazon.com/eks/latest/userguide/kubernetes-versions.html#kubernetes-release-calendar) e [Comprendi il ciclo di vita della versione Kubernetes su Amazon EKS nella Guida per l'utente di Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/kubernetes-versions.html#version-deprecation).**
### Correzione
Per aggiornare un cluster EKS, consulta [Aggiornare un cluster esistente a una nuova versione di Kubernetes](https://docs.aws.amazon.com/eks/latest/userguide/update-cluster.html) nella **Amazon EKS** User Guide.
## [EKS.3] I cluster EKS devono utilizzare segreti Kubernetes crittografati
**Requisiti correlati:** NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-1 2, 3, 8, PCI DSS NIST.800-53.r5 SC-1 v4.0.1/8.3.2 NIST.800-53.r5 SC-2
**Categoria: Proteggi > Protezione dei dati > Crittografia** di data-at-rest
**Gravità:** media
**Tipo di risorsa:** `AWS::EKS::Cluster`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-secrets-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-secrets-encrypted.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se un cluster Amazon EKS utilizza segreti Kubernetes crittografati. Il controllo fallisce se i segreti Kubernetes del cluster non sono crittografati.
Quando crittografi i segreti, puoi utilizzare le chiavi AWS Key Management Service (AWS KMS) per fornire la crittografia in busta dei segreti Kubernetes archiviati in etcd per il tuo cluster. Questa crittografia si aggiunge alla crittografia del volume EBS che è abilitata per impostazione predefinita per tutti i dati (inclusi i segreti) archiviati in etcd come parte di un cluster EKS. L'utilizzo della crittografia segreta per il cluster EKS consente di implementare una strategia di difesa approfondita per le applicazioni Kubernetes crittografando i segreti Kubernetes con una chiave KMS definita e gestita dall'utente.
### Correzione
Per abilitare la crittografia segreta su un cluster EKS, [consulta Abilitazione della crittografia segreta su un cluster esistente](https://docs.aws.amazon.com/eks/latest/userguide/enable-kms.html) nella **Guida per l'utente di Amazon EKS**.
## [EKS.6] I cluster EKS devono essere etichettati
**Categoria: Identificazione > Inventario** > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::EKS::Cluster`
**AWS Config regola:** `tagged-eks-cluster` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un cluster Amazon EKS dispone di tag con le chiavi specifiche definite nel parametro`requiredTagKeys`. Il controllo fallisce se il cluster non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il cluster non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
Per aggiungere tag a un cluster EKS, consulta [Tagging your Amazon EKS Resources](https://docs.aws.amazon.com/eks/latest/userguide/eks-using-tags.html) nella **Amazon EKS User Guide**.
## [EKS.7] Le configurazioni dei provider di identità EKS devono essere contrassegnate
**Categoria: Identificazione > Inventario** > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::EKS::IdentityProviderConfig`
**AWS Config regola:** `tagged-eks-identityproviderconfig` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se la configurazione di un provider di identità Amazon EKS ha tag con le chiavi specifiche definite nel parametro`requiredTagKeys`. Il controllo fallisce se la configurazione non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se la configurazione non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
Per aggiungere tag alle configurazioni di un provider di identità EKS, consulta [Tagging your Amazon EKS resources](https://docs.aws.amazon.com/eks/latest/userguide/eks-using-tags.html) nella **Amazon EKS User Guide**.
## [EKS.8] I cluster EKS devono avere la registrazione di controllo abilitata
**Requisiti correlati:** NIST.800-53.r5 AC-2 (12), NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.r5 SI-4, NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.2.1
**Categoria:** Identificazione > Registrazione
**Gravità:** media
**Tipo di risorsa:** `AWS::EKS::Cluster`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-log-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-log-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
+ `logTypes: audit`(non personalizzabile)
Questo controllo verifica se un cluster Amazon EKS ha abilitato la registrazione di audit. Il controllo fallisce se la registrazione di controllo non è abilitata per il cluster.
**Nota**
Questo controllo non verifica se la registrazione di audit di Amazon EKS è abilitata tramite Amazon Security Lake per. Account AWS
La registrazione del piano di controllo EKS fornisce registri di audit e diagnostica direttamente dal piano di controllo EKS ad Amazon CloudWatch Logs nel tuo account. Puoi selezionare i tipi di log di cui hai bisogno e i log vengono inviati come flussi di log a un gruppo per ogni cluster EKS in cui risiede. CloudWatch La registrazione offre visibilità sull'accesso e sulle prestazioni dei cluster EKS. Inviando i log del piano di controllo EKS per i cluster EKS a CloudWatch Logs, è possibile registrare le operazioni a fini di controllo e diagnostica in una posizione centrale.
### Correzione
Per abilitare i log di controllo per il tuo cluster EKS, consulta [Abilitazione e disabilitazione dei log del piano di controllo nella Guida per l'utente di **Amazon EKS**](https://docs.aws.amazon.com/eks/latest/userguide/control-plane-logs.html#enabling-control-plane-log-export).
# Controlli CSPM Security Hub per ElastiCache
Questi AWS Security Hub CSPM controlli valutano il ElastiCache servizio e le risorse Amazon. I controlli potrebbero non essere disponibili tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati
**Requisiti correlati:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-12, NIST.800-53.r5 SI-13 (5)
**Categoria**: Ripristino > Resilienza > Backup abilitati
**Gravità:** alta
**Tipo di risorsa:**, `AWS::ElastiCache::CacheCluster` `AWS:ElastiCache:ReplicationGroup`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-redis-cluster-automatic-backup-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-redis-cluster-automatic-backup-check.html)
**Tipo di pianificazione:** periodica
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| `snapshotRetentionPeriod` | Periodo minimo di conservazione delle istantanee in giorni | Numero intero | `1` Da a `35` | `1` |
Questo controllo valuta se un cluster Amazon ElastiCache (Redis OSS) ha i backup automatici abilitati. Il controllo fallisce se il periodo di `SnapshotRetentionLimit` tempo per il cluster Redis OSS è inferiore al periodo di tempo specificato. A meno che non si fornisca un valore di parametro personalizzato per il periodo di conservazione delle istantanee, Security Hub CSPM utilizza un valore predefinito di 1 giorno.
ElastiCache I cluster (Redis OSS) possono eseguire il backup dei propri dati. Il backup può essere utilizzato per ripristinare un cluster o dare fonte a un nuovo cluster. Il backup è costituito dai metadati del cluster, insieme a tutti i dati del cluster. Tutti i backup vengono scritti su Amazon S3, che fornisce uno storage durevole. Puoi ripristinare i dati creando un nuovo ElastiCache cluster e popolandolo con i dati di un backup. È possibile gestire i backup utilizzando l' Console di gestione AWS AWS CLI, l'e l' ElastiCache API.
**Nota**
Questo controllo valuta anche i gruppi di replica ElastiCache (Redis OSS e Valkey).
### Correzione
*Per informazioni sulla pianificazione dei backup automatici per un ElastiCache cluster, consulta la sezione [Pianificazione dei backup automatici nella](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/backups-automatic.html) Amazon User Guide. ElastiCache *
## [ElastiCache.2] i ElastiCache cluster dovrebbero avere gli aggiornamenti automatici delle versioni secondarie abilitati
**Requisiti correlati:** NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2 (2), NIST.800-53.r5 SI-2 (4), NIST.800-53.r5 SI-2 (5) PCI DSS v4.0.1/6.3.3
**Categoria**: Identificazione > Gestione di vulnerabilità, patch e versioni
**Gravità:** alta
**Tipo di risorsa:** `AWS::ElastiCache::CacheCluster`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-auto-minor-version-upgrade-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-auto-minor-version-upgrade-check.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo valuta se Amazon applica ElastiCache automaticamente aggiornamenti di versione minori a un cluster di cache. Il controllo fallisce se al cluster di cache non vengono applicati automaticamente aggiornamenti di versione minori.
**Nota**
Questo controllo non si applica ai cluster ElastiCache Memcached.
L'aggiornamento automatico della versione secondaria è una funzionalità che puoi abilitare in Amazon ElastiCache per aggiornare automaticamente i tuoi cluster di cache quando è disponibile una nuova versione del motore di cache secondario. Questi aggiornamenti potrebbero includere patch di sicurezza e correzioni di bug. Continuare up-to-date a installare le patch è un passo importante per proteggere i sistemi.
### Correzione
Per applicare automaticamente aggiornamenti di versioni minori a un cluster di ElastiCache cache esistente, consulta la sezione [Gestione delle versioni ElastiCache](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/VersionManagement.html) nella *Amazon ElastiCache User Guide*.
## [ElastiCache.3] i gruppi di ElastiCache replica devono avere il failover automatico abilitato
**Requisiti correlati:** NIST.800-53.r5 CP-10, NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5)
**Categoria: Recupero > Resilienza > Alta disponibilità**
**Gravità:** media
**Tipo di risorsa:** `AWS::ElastiCache::ReplicationGroup`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-auto-failover-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-auto-failover-enabled.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se un gruppo di ElastiCache replica ha il failover automatico abilitato. Il controllo fallisce se il failover automatico non è abilitato per un gruppo di replica.
Quando il failover automatico è abilitato per un gruppo di replica, il ruolo del nodo primario eseguirà automaticamente il failover su una delle repliche di lettura. Questa promozione del failover e della replica consente di riprendere la scrittura sul nuovo sistema primario una volta completata la promozione, riducendo così i tempi di inattività complessivi in caso di guasto.
### Correzione
Per abilitare il failover automatico per un gruppo di ElastiCache replica esistente, consulta [Modifying an ElastiCache cluster](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/Clusters.Modify.html#Clusters.Modify.CON) nella *Amazon ElastiCache * User Guide. Se usi la ElastiCache console, imposta il **failover automatico** su abilitato.
## [ElastiCache.4] i gruppi di ElastiCache replica devono essere crittografati quando sono inattivi
**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.R5 SI-7 (6)
**Categoria: Protezione > Protezione** dei dati > Crittografia di data-at-rest
**Gravità:** media
**Tipo di risorsa:** `AWS::ElastiCache::ReplicationGroup`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-encrypted-at-rest.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se un gruppo di ElastiCache replica è crittografato quando è inattivo. Il controllo ha esito negativo se il gruppo di replica non è crittografato a riposo.
La crittografia dei dati inattivi riduce il rischio che un utente non autenticato acceda ai dati archiviati su disco. ElastiCache I gruppi di replica (Redis OSS) devono essere crittografati quando sono inattivi per un ulteriore livello di sicurezza.
### Correzione
Per configurare la crittografia a riposo su un gruppo di ElastiCache replica, consulta [Enabling at-rest encryption](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/at-rest-encryption.html#at-rest-encryption-enable) nella *Amazon ElastiCache * User Guide.
## [ElastiCache.5] i gruppi di ElastiCache replica devono essere crittografati in transito
**Requisiti correlati:** NIST.800-53.r5 AC-1 7 (2), NIST.800-53.r5 IA-5 (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 (3), 3, 3, NIST.800-53.r5 SC-1 3 (3), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), PCI DSS v4.0.1/4.2.1
**Categoria**: Protezione > Protezione dei dati > Crittografia di data-in-transit
**Gravità:** media
**Tipo di risorsa:** `AWS::ElastiCache::ReplicationGroup`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-encrypted-in-transit.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se un gruppo di ElastiCache replica è crittografato in transito. Il controllo ha esito negativo se il gruppo di replica non è crittografato in transito.
La crittografia dei dati in transito riduce il rischio che un utente non autorizzato possa intercettare il traffico di rete. L'attivazione della crittografia in transito su un gruppo di ElastiCache replica crittografa i dati ogni volta che vengono spostati da una posizione all'altra, ad esempio tra i nodi del cluster o tra il cluster e l'applicazione.
### Correzione
Per configurare la crittografia in transito su un gruppo di ElastiCache replica, consulta [Enabling in-transit encryption](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/in-transit-encryption.html) nella *Amazon ElastiCache * User Guide.
## [ElastiCache.6] ElastiCache (Redis OSS) i gruppi di replica delle versioni precedenti devono avere Redis OSS AUTH abilitato
**Requisiti correlati:** NIST.800-53.r5 AC-2 (1), (15) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 (7), PCI DSS v4.0.1/8.3.1 NIST.800-53.r5 AC-6
**Categoria:** Protezione > Gestione degli accessi sicuri
**Gravità:** media
**Tipo di risorsa:** `AWS::ElastiCache::ReplicationGroup`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-redis-auth-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-redis-auth-enabled.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se un gruppo di replica ElastiCache (Redis OSS) ha Redis OSS AUTH abilitato. Il controllo ha esito negativo se la versione Redis OSS dei nodi del gruppo di replica è inferiore alla 6.0 e non è in uso. `AuthToken`
Quando si utilizzano token di autenticazione o password Redis, Redis richiede una password prima di consentire ai client di eseguire i comandi, il che migliora la sicurezza dei dati. Per Redis 6.0 e versioni successive, consigliamo di utilizzare Role-Based Access Control (RBAC). Poiché RBAC non è supportato per le versioni di Redis precedenti alla 6.0, questo controllo valuta solo le versioni che non possono utilizzare la funzionalità RBAC.
### Correzione
*Per utilizzare Redis AUTH su un gruppo di replica ElastiCache (Redis OSS), consulta [Modifica del token AUTH su un cluster esistente ElastiCache (Redis OSS)](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/auth.html#auth-modifyng-token) nella Amazon User Guide. ElastiCache *
## [ElastiCache.7] ElastiCache i cluster non devono utilizzare il gruppo di sottoreti predefinito
**Requisiti correlati:** NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21), (4), NIST.800-53.r5 SC-7 (5) NIST.800-53.r5 SC-7
**Categoria:** Protezione > Configurazione di rete protetta
**Gravità:** alta
**Tipo di risorsa:** `AWS::ElastiCache::CacheCluster`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elasticache-subnet-group-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-subnet-group-check.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se un ElastiCache cluster è configurato con un gruppo di sottoreti personalizzato. Il controllo ha esito negativo se `CacheSubnetGroupName` per un ElastiCache cluster ha il valore`default`.
Quando si avvia un ElastiCache cluster, viene creato un gruppo di sottoreti predefinito se non ne esiste già uno. Il gruppo predefinito utilizza le sottoreti del Virtual Private Cloud (VPC) predefinito. Si consiglia di utilizzare gruppi di sottoreti personalizzati che limitino le sottoreti in cui risiede il cluster e la rete che il cluster eredita dalle sottoreti.
### Correzione
Per creare un nuovo gruppo di sottoreti per un ElastiCache cluster, consulta la sezione [Creazione di un gruppo di sottoreti](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/SubnetGroups.Creating.html) nella *Amazon ElastiCache User Guide*.
# Controlli CSPM di Security Hub per Elastic Beanstalk
Questi AWS Security Hub CSPM controlli valutano il AWS Elastic Beanstalk servizio e le risorse.
Questi controlli potrebbero non essere disponibili tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [ElasticBeanstalk.1] Gli ambienti Elastic Beanstalk dovrebbero avere la reportistica sullo stato avanzata abilitata
**Requisiti correlati**:, NIST.800-53.R5 SI-2 NIST.800-53.r5 CA-7
**Categoria: Rileva > Servizi** di rilevamento > Monitoraggio delle applicazioni
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::ElasticBeanstalk::Environment`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/beanstalk-enhanced-health-reporting-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/beanstalk-enhanced-health-reporting-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se i report avanzati sullo stato di salute sono abilitati per gli AWS Elastic Beanstalk ambienti in uso.
La reportistica avanzata sullo stato di Elastic Beanstalk consente una risposta più rapida ai cambiamenti nello stato dell'infrastruttura sottostante. Queste modifiche potrebbero comportare una mancanza di disponibilità dell'applicazione.
Il reporting avanzato sull'integrità di Elastic Beanstalk fornisce un descrittore dello stato per valutare la gravità dei problemi identificati e per individuare le possibili cause su cui indagare. L'agente sanitario Elastic Beanstalk, incluso nelle Amazon Machine AMIs Images () supportate, valuta i log e i parametri delle istanze di ambiente. EC2
*Per ulteriori informazioni, consulta [Reporting and health monitoring avanzati](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/health-enhanced.html) nella Developer Guide.AWS Elastic Beanstalk *
### Correzione
*Per istruzioni su come abilitare la reportistica sanitaria avanzata, consulta [Enhanced Health Reporting using the Elastic Beanstalk console](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/health-enhanced-enable.html#health-enhanced-enable-console) nella Developer Guide.AWS Elastic Beanstalk *
## [ElasticBeanstalk.2] Gli aggiornamenti della piattaforma gestita da Elastic Beanstalk devono essere abilitati
**Requisiti correlati:** NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2 (2), NIST.800-53.r5 SI-2 (4), NIST.800-53.r5 SI-2 (5), PCI DSS v4.0.1/6.3.3
**Categoria**: Identificazione > Gestione di vulnerabilità, patch e versioni
**Gravità:** alta
**Tipo di risorsa:** `AWS::ElasticBeanstalk::Environment`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elastic-beanstalk-managed-updates-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elastic-beanstalk-managed-updates-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| `UpdateLevel` | Livello di aggiornamento della versione | Enum | `minor`, `patch` | Nessun valore predefinito |
Questo controllo verifica se gli aggiornamenti della piattaforma gestita sono abilitati per un ambiente Elastic Beanstalk. Il controllo fallisce se non sono abilitati gli aggiornamenti gestiti della piattaforma. Per impostazione predefinita, il controllo passa se è abilitato qualsiasi tipo di aggiornamento della piattaforma. Facoltativamente, è possibile fornire un valore di parametro personalizzato per richiedere un livello di aggiornamento specifico.
L'abilitazione degli aggiornamenti gestiti della piattaforma garantisce l'installazione delle correzioni, degli aggiornamenti e delle funzionalità più recenti disponibili per l'ambiente. Mantenersi aggiornati sull'installazione delle patch è un passaggio importante per proteggere i sistemi.
### Correzione
Per abilitare gli aggiornamenti gestiti della piattaforma, consulta [Configurare gli aggiornamenti gestiti della piattaforma in Aggiornamenti gestiti della piattaforma](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/environment-platform-update-managed.html) nella *Guida per gli AWS Elastic Beanstalk sviluppatori*.
## [ElasticBeanstalk.3] Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch
Requisiti **correlati**: PCI DSS v4.0.1/10.4.2
**Categoria:** Identificazione > Registrazione
**Gravità:** alta
**Tipo di risorsa:** `AWS::ElasticBeanstalk::Environment`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elastic-beanstalk-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/elastic-beanstalk-logs-to-cloudwatch.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| `RetentionInDays` | Numero di giorni in cui conservare gli eventi di registro prima della scadenza | Enum | `1`, `3`, `5`, `7`, `14`, `30`, `60`, `90`, `120`, `150`, `180`, `365` , `400`, `545`, `731`, `1827`, `3653` | Nessun valore predefinito |
Questo controllo verifica se un ambiente Elastic Beanstalk è configurato per inviare log a Logs. CloudWatch Il controllo fallisce se un ambiente Elastic Beanstalk non è configurato per inviare log a Logs. CloudWatch Facoltativamente, puoi fornire un valore personalizzato per il `RetentionInDays` parametro se desideri che il controllo passi solo se i log vengono conservati per il numero di giorni specificato prima della scadenza.
CloudWatch consente di raccogliere e monitorare varie metriche per le applicazioni e le risorse dell'infrastruttura. È inoltre possibile utilizzarlo CloudWatch per configurare le azioni di allarme in base a metriche specifiche. Ti consigliamo di integrare Elastic Beanstalk con per ottenere una maggiore visibilità nel tuo ambiente Elastic CloudWatch Beanstalk. I log di Elastic Beanstalk includono eb-activity.log, i log di accesso dall'ambiente nginx o dal server proxy Apache e i log specifici di un ambiente.
### Correzione
*Per integrare Elastic CloudWatch Beanstalk con Logs[, consulta Streaming dei log delle istanze CloudWatch ](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/AWSHowTo.cloudwatchlogs.html#AWSHowTo.cloudwatchlogs.streaming) su Logs nella Developer Guide.AWS Elastic Beanstalk *
# Controlli CSPM di Security Hub per Elastic Load Balancing
Questi AWS Security Hub CSPM controlli valutano il servizio e le risorse Elastic Load Balancing. I controlli potrebbero non essere disponibili in tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [ELB.1] Application Load Balancer deve essere configurato per reindirizzare tutte le richieste HTTP a HTTPS
**Requisiti correlati:** PCI DSS v3.2.1/2.3, PCI DSS v3.2.1/4.1, NIST.800-53.r5 AC-1 7 (2), (1), 2 (3), 3, 3 (3) NIST.800-53.r5 AC-4, 3 NIST.800-53.r5 IA-5 (3), (4), (1), NIST.800-53.r5 SC-1 ( NIST.800-53.r5 SC-12), NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2 NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-7 (6) NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8
**Categoria:** Rilevamento > Servizi di rilevamento
**Gravità:** media
**Tipo di risorsa:** `AWS::ElasticLoadBalancingV2::LoadBalancer`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/alb-http-to-https-redirection-check.html](https://docs.aws.amazon.com/config/latest/developerguide/alb-http-to-https-redirection-check.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se il reindirizzamento da HTTP a HTTPS è configurato su tutti i listener HTTP di Application Load Balancers. Il controllo ha esito negativo se per uno dei listener HTTP di Application Load Balancers non è configurato il reindirizzamento da HTTP a HTTPS.
Prima di iniziare a utilizzare Application Load Balancer, è necessario aggiungere uno o più listener. Un listener è un processo che utilizza il protocollo e la porta configurati per verificare la presenza di richieste di connessione. I listener supportano entrambi i protocolli HTTP e HTTPS. È possibile utilizzare un listener HTTPS per affidare il lavoro di crittografia e decrittografia al sistema di bilanciamento del carico. Per applicare la crittografia in transito, è necessario utilizzare le azioni di reindirizzamento con Application Load Balancers per reindirizzare le richieste HTTP dei client a una richiesta HTTPS sulla porta 443.
*Per ulteriori informazioni, consulta [Listeners for your Application Load Balancers nella User Guide for Application Load Balancers](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-listeners.html).*
### Correzione
Per reindirizzare le richieste HTTP su HTTPS, è necessario aggiungere una regola listener Application Load Balancer o modificare una regola esistente.
Per istruzioni sull'aggiunta di una nuova regola, consulta [Aggiungere una regola](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/listener-update-rules.html#add-rule) nella *Guida utente di Application Load Balancers*. Per **Protocollo: Porta**, scegliete **HTTP**, quindi immettete. **80** Per **Aggiungi azione, Reindirizza a**, scegli **HTTPS**, quindi inserisci**443**.
Per istruzioni sulla modifica di una regola esistente, consulta [Modificare una regola](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/listener-update-rules.html#edit-rule) nella *Guida utente di Application Load Balancers*. Per **Protocollo: Porta**, scegliete **HTTP**, quindi immettete. **80** Per **Aggiungi azione, Reindirizza a**, scegli **HTTPS**, quindi inserisci**443**.
## [ELB.2] I sistemi Classic Load Balancer con SSL/HTTPS listener devono utilizzare un certificato fornito da AWS Certificate Manager
**Requisiti correlati:** NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, 2 NIST.800-53.r5 IA-5 (3), 3, 3, 3 (5), NIST.800-53.r5 SC-1 (4), (1), ( NIST.800-53.r5 SC-12), NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-7 NIST.800-53.r5 NIST.800-53.r5 SC-8 SI-7 NIST.800-53.r5 SC-8 (6), NIST.800-53.r5 SC-8 NIST.800-171.r2 3.13.8 NIST.800-53.r5 SC-2
**Categoria**: Protezione > Protezione dei dati > Crittografia di data-in-transit
**Gravità:** media
**Tipo di risorsa:** `AWS::ElasticLoadBalancing::LoadBalancer`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elb-acm-certificate-required.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-acm-certificate-required.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se il Classic Load Balancer utilizza i HTTPS/SSL certificati forniti da AWS Certificate Manager (ACM). Il controllo fallisce se il Classic Load Balancer configurato con HTTPS/SSL listener non utilizza un certificato fornito da ACM.
Per creare un certificato, puoi utilizzare ACM o uno strumento che supporti i protocolli SSL e TLS, come OpenSSL. Security Hub CSPM consiglia di utilizzare ACM per creare o importare certificati per il sistema di bilanciamento del carico.
ACM si integra con Classic Load Balancers in modo da poter distribuire il certificato sul sistema di bilanciamento del carico. È inoltre necessario rinnovare automaticamente questi certificati.
### Correzione
Per informazioni su come associare un SSL/TLS certificato ACM a un Classic Load Balancer, consulta AWS l'[articolo del Knowledge Center Come posso associare un certificato SSL/TLS ACM a un Classic, Application o Network Load Balancer](https://aws.amazon.com/premiumsupport/knowledge-center/associate-acm-certificate-alb-nlb/)?
## [ELB.3] I listener Classic Load Balancer devono essere configurati con terminazione HTTPS o TLS
**Requisiti correlati:** NIST.800-53.r5 AC-1 7 (2) NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5 (1), NIST.800-53.r5 SC-1 2 (3), 3, NIST.800-53.r5 SC-1 3 (3), NIST.800-53.r5 SC-2 (4), (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), NIST.800-171.r2 3.13.8, NIST.800-171.r2 3.13.15, PCI DSS v4.0.1/4.2.1 NIST.800-53.r5 SC-2
**Categoria:** Protezione > Protezione dei dati > Crittografia di data-in-transit
**Gravità:** media
**Tipo di risorsa:** `AWS::ElasticLoadBalancing::LoadBalancer`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elb-tls-https-listeners-only.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-tls-https-listeners-only.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se i listener Classic Load Balancer sono configurati con il protocollo HTTPS o TLS per le connessioni front-end (da client a load balancer). Il controllo è applicabile se un Classic Load Balancer dispone di ascoltatori. Se il Classic Load Balancer non dispone di un listener configurato, il controllo non riporta alcun risultato.
Il controllo passa se i listener Classic Load Balancer sono configurati con TLS o HTTPS per le connessioni front-end.
Il controllo fallisce se il listener non è configurato con TLS o HTTPS per le connessioni front-end.
Prima di iniziare a utilizzare un sistema di bilanciamento del carico, è necessario aggiungere uno o più listener. Un listener è un processo che utilizza il protocollo e la porta configurati per verificare la presenza di richieste di connessione. I listener possono supportare sia HTTP che protocolli. HTTPS/TLS È necessario utilizzare sempre un listener HTTPS o TLS, in modo che il load balancer esegua il lavoro di crittografia e decrittografia in transito.
### Correzione
Per risolvere questo problema, aggiorna i listener in modo che utilizzino il protocollo TLS o HTTPS.
**Per trasformare tutti gli ascoltatori non conformi in ascoltatori TLS/HTTPS**
1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Nel riquadro di navigazione, in **Bilanciamento del carico**, scegli **Sistemi di bilanciamento del carico**.
1. Seleziona il Classic Load Balancer.
1. Nella scheda **Listeners (Listener)**, seleziona **Edit (Modifica)**.
1. Per tutti i listener in cui **Load Balancer** Protocol non è impostato su HTTPS o SSL, modificate l'impostazione su HTTPS o SSL.
1. **Per tutti i listener modificati, nella scheda **Certificati, scegliete Cambia default**.**
1. Selezionare un certificato per **Certificati ACM e IAM**.
1. Scegliere **Salva come predefinito**.
1. **Dopo aver aggiornato tutti i listener, scegliete Salva.**
## [ELB.4] L'Application Load Balancer deve essere configurato per eliminare le intestazioni http non valide
**Requisiti correlati:** NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-8 (2), PCI DSS v4.0.1/6.2.4
**Categoria**: Proteggi > Sicurezza di rete
**Gravità:** media
**Tipo di risorsa:** `AWS::ElasticLoadBalancingV2::LoadBalancer`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/alb-http-drop-invalid-header-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/alb-http-drop-invalid-header-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo valuta se un Application Load Balancer è configurato per eliminare intestazioni HTTP non valide. Il controllo ha esito negativo se il valore di `routing.http.drop_invalid_header_fields.enabled` è impostato su. `false`
Per impostazione predefinita, gli Application Load Balancer non sono configurati per eliminare valori di intestazione HTTP non validi. La rimozione di questi valori di intestazione impedisce gli attacchi di desincronizzazione HTTP.
**Nota**
Ti consigliamo di disabilitare questo controllo se ELB.12 è abilitato nel tuo account. Per ulteriori informazioni, consulta [[ELB.12] Application Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa](#elb-12).
### Correzione
Per risolvere questo problema, configura il sistema di bilanciamento del carico in modo da eliminare i campi di intestazione non validi.
**Per configurare il load balancer in modo da eliminare i campi di intestazione non validi**
1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Nel riquadro di navigazione selezionare **Load Balancers (Sistemi di bilanciamento del carico)**.
1. Scegliete un Application Load Balancer.
1. Da **Azioni**, scegli **Modifica attributi**.
1. **In **Elimina campi di intestazione non validi**, scegli Abilita.**
1. Scegli **Save** (Salva).
## [ELB.5] La registrazione delle applicazioni e dei sistemi Classic Load Balancers deve essere abilitata
**Requisiti correlati:** NIST.800-53.r5 AC-4 (26), (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-7 (8)
**Categoria:** Identificazione > Registrazione
**Gravità:** media
`AWS::ElasticLoadBalancing::LoadBalancer`Tipo di risorsa**:**, `AWS::ElasticLoadBalancingV2::LoadBalancer`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elb-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-logging-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se l'Application Load Balancer e il Classic Load Balancer hanno la registrazione abilitata. Se lo è, il controllo fallisce. `access_logs.s3.enabled` `false`
Elastic Load Balancing fornisce log di accesso che acquisiscono informazioni dettagliate sulle richieste inviate al tuo load balancer. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server. Puoi utilizzare questi log per analizzare i modelli di traffico e risolvere i problemi che potresti incontrare.
Per ulteriori informazioni, consulta [i registri di accesso per il tuo Classic Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/access-log-collection.html) *nella Guida per l'utente dei Classic* Load Balancer.
### Correzione
Per abilitare i log di accesso, consulta la [Fase 3: Configurazione dei log di accesso](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/enable-access-logging.html#enable-access-logs) nella Guida *utente* per Application Load Balancers.
## [ELB.6] Application, Gateway e Network Load Balancer devono avere la protezione da eliminazione abilitata
**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), (2) NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5
**Categoria:** Recupero > Resilienza > Alta disponibilità
**Gravità:** media
**Tipo di risorsa:** `AWS::ElasticLoadBalancingV2::LoadBalancer`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elb-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-deletion-protection-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un'applicazione, un gateway o un Network Load Balancer ha la protezione da eliminazione abilitata. Il controllo ha esito negativo se la protezione da eliminazione è disattivata.
Abilita la protezione dall'eliminazione per proteggere l'applicazione, il gateway o il Network Load Balancer dall'eliminazione.
### Correzione
Per evitare che il sistema di bilanciamento del carico venga eliminato accidentalmente, è possibile abilitare la protezione da eliminazione. Per impostazione predefinita, la protezione da eliminazioni è disabilitata nel sistema di bilanciamento del carico.
Se si abilita la protezione da eliminazione per il sistema di bilanciamento del carico, è necessario disabilitare la protezione da eliminazione prima di poter eliminare il sistema di bilanciamento del carico.
Per abilitare la protezione da eliminazione per un Application Load Balancer, vedere [Protezione da eliminazione](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/application-load-balancers.html#deletion-protection) nella *User Guide for Application Load* Balancer. Per abilitare la protezione da eliminazione per un Gateway Load Balancer, vedere [Protezione da eliminazione](https://docs.aws.amazon.com/elasticloadbalancing/latest/gateway/gateway-load-balancers.html#deletion-protection) nella *Guida utente di Gateway Load* Balancer. Per abilitare la protezione da eliminazione per un Network Load Balancer, vedere [Protezione da eliminazione](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancers.html#deletion-protection) nella *Guida dell'utente per Network Load* Balancer.
## [ELB.7] I Classic Load Balancer devono avere il drenaggio della connessione abilitato
**Requisiti correlati: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5** CM-2
**Categoria**: Recupero > Resilienza
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::ElasticLoadBalancing::LoadBalancer`
**AWS Config regola:** `elb-connection-draining-enabled` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:** nessuno
Questo controllo verifica se i Classic Load Balancer hanno abilitato il drenaggio della connessione.
L'abilitazione del drenaggio della connessione sui Classic Load Balancer garantisce che il sistema di bilanciamento del carico interrompa l'invio di richieste alle istanze che non registrano alcuna registrazione o che non sono funzionanti. Mantiene aperte le connessioni esistenti. Ciò è particolarmente utile per le istanze nei gruppi di Auto Scaling, per garantire che le connessioni non vengano interrotte bruscamente.
### Correzione
Per abilitare il drenaggio della connessione sui Classic Load Balancer, consulta [Configurare il drenaggio della connessione per Classic Load Balancer nella Guida *dell'utente* per Classic Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/config-conn-drain.html).
## [ELB.8] I Classic Load Balancer con listener SSL devono utilizzare una politica di sicurezza predefinita con una durata elevata AWS Config
**Requisiti correlati:** NIST.800-53.r5 AC-1 7 (2) NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5 (1), NIST.800-53.r5 SC-1 2 (3), 3, NIST.800-53.r5 SC-1 3 ( NIST.800-53.r5 SC-23), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-7 (1), NIST.800-53.r5 SC-8 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), NIST.800-171.r2 3.13.8, NIST.800-171.r2 3.13.15, PCI DSS v4.0.1/4.2.1
**Categoria:** Protezione > Protezione dei dati > Crittografia di data-in-transit
**Gravità:** media
**Tipo di risorsa:** `AWS::ElasticLoadBalancing::LoadBalancer`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elb-predefined-security-policy-ssl-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-predefined-security-policy-ssl-check.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
+ `predefinedPolicyName`: `ELBSecurityPolicy-TLS-1-2-2017-01` (non personalizzabile)
Questo controllo verifica se i HTTPS/SSL listener Classic Load Balancer utilizzano la policy predefinita. `ELBSecurityPolicy-TLS-1-2-2017-01` Il controllo fallisce se i HTTPS/SSL listener Classic Load Balancer non lo utilizzano. `ELBSecurityPolicy-TLS-1-2-2017-01`
Una politica di sicurezza è una combinazione di protocolli SSL, cifrari e l'opzione Server Order Preference. Le politiche predefinite controllano i codici, i protocolli e gli ordini di preferenza da supportare durante le negoziazioni SSL tra un client e un sistema di bilanciamento del carico.
L'utilizzo `ELBSecurityPolicy-TLS-1-2-2017-01` può aiutarti a soddisfare gli standard di conformità e sicurezza che richiedono la disabilitazione di versioni specifiche di SSL e TLS. Per ulteriori informazioni, consulta [Policy di sicurezza SSL predefinite per Classic Load Balancers nella Guida per *l'utente* di Classic Load Balancers](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-security-policy-table.html).
### Correzione
Per informazioni su come utilizzare la politica di sicurezza predefinita `ELBSecurityPolicy-TLS-1-2-2017-01` con un Classic Load Balancer, [consulta Configure security](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-create-https-ssl-load-balancer.html#config-backend-auth) settings *in User Guide for Classic* Load Balancer.
## [ELB.9] I Classic Load Balancer devono avere il bilanciamento del carico tra zone abilitato
**Requisiti correlati:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
**Categoria: Recupero > Resilienza > Alta disponibilità**
**Gravità:** media
**Tipo di risorsa:** `AWS::ElasticLoadBalancing::LoadBalancer`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elb-cross-zone-load-balancing-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-cross-zone-load-balancing-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se il bilanciamento del carico tra zone è abilitato per Classic Load Balancers (). CLBs Il controllo fallisce se il bilanciamento del carico tra zone non è abilitato per un CLB.
Un nodo di bilanciamento del carico distribuisce il traffico solo tra le destinazioni registrate nella sua zona di disponibilità. Se il bilanciamento del carico tra zone è disabilitato, ogni nodo del sistema di bilanciamento del carico distribuisce il traffico solo tra le destinazioni registrate nella sua zona di disponibilità. Se il numero di destinazioni registrate non è lo stesso nelle zone di disponibilità, il traffico non verrà distribuito in modo uniforme e le istanze in una zona potrebbero finire per essere utilizzate in modo eccessivo rispetto alle istanze in un'altra zona. Con il bilanciamento del carico tra zone abilitato, ogni nodo di load balancer per Classic Load Balancer distribuisce le richieste in modo uniforme tra le istanze registrate in tutte le zone di disponibilità abilitate. Per i dettagli, consulta [il bilanciamento del carico tra zone nella Elastic Load Balancing](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/how-elastic-load-balancing-works.html#cross-zone-load-balancing) User Guide.
### Correzione
Per abilitare il bilanciamento del carico tra zone in un Classic Load Balancer, [consulta Abilita il bilanciamento del carico tra zone nella Guida *utente* per Classic Load](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/enable-disable-crosszone-lb.html#enable-cross-zone) Balancer.
## [ELB.10] Classic Load Balancer dovrebbe estendersi su più zone di disponibilità
**Requisiti correlati:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
**Categoria: Recupero > Resilienza > Alta disponibilità**
**Gravità:** media
**Tipo di risorsa:** `AWS::ElasticLoadBalancing::LoadBalancer`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/clb-multiple-az.html](https://docs.aws.amazon.com/config/latest/developerguide/clb-multiple-az.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| `minAvailabilityZones` | Numero minimo di zone di disponibilità | Enum | `2, 3, 4, 5, 6` | `2` |
Questo controllo verifica se un Classic Load Balancer è stato configurato per coprire almeno il numero specificato di zone di disponibilità (). AZs Il controllo fallisce se il Classic Load Balancer non copre almeno il numero specificato di. AZs A meno che non si fornisca un valore di parametro personalizzato per il numero minimo di AZs, Security Hub CSPM utilizza un valore predefinito pari a due. AZs
È possibile configurare un Classic Load Balancer per distribuire le richieste in entrata tra le istanze Amazon EC2 in una singola zona di disponibilità o più zone di disponibilità. Un Classic Load Balancer che non si estende su più zone di disponibilità non è in grado di reindirizzare il traffico verso destinazioni in un'altra zona di disponibilità se l'unica zona di disponibilità configurata non è disponibile.
### Correzione
Per aggiungere zone di disponibilità a un Classic Load Balancer, consulta [Aggiungere o rimuovere sottoreti per il Classic Load Balancer nella Guida *utente* per Classic Load Balancer](https://docs.aws.amazon.com//elasticloadbalancing/latest/classic/elb-manage-subnets.html).
## [ELB.12] Application Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa
**Requisiti correlati:** NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, PCI DSS v4.0.1/6.2.4
**Categoria**: Protezione > Protezione dei dati > Integrità dei dati
**Gravità:** media
**Tipo di risorsa:** `AWS::ElasticLoadBalancingV2::LoadBalancer`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/alb-desync-mode-check.html](https://docs.aws.amazon.com/config/latest/developerguide/alb-desync-mode-check.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
+ `desyncMode`: `defensive, strictest` (non personalizzabile)
Questo controllo verifica se un Application Load Balancer è configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa. Il controllo fallisce se un Application Load Balancer non è configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa.
I problemi relativi a HTTP Desync possono portare al contrabbando di richieste e rendere le applicazioni vulnerabili all'avvelenamento della coda di richieste o della cache. A loro volta, queste vulnerabilità possono portare al furto di credenziali o all'esecuzione di comandi non autorizzati. Gli Application Load Balancer configurati con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa proteggono l'applicazione dai problemi di sicurezza che potrebbero essere causati da HTTP Desync.
### Correzione
Per aggiornare la modalità di mitigazione della desincronizzazione di un Application Load Balancer, [consulta la modalità di mitigazione Desync nella User Guide for Application](https://docs.aws.amazon.com//elasticloadbalancing/latest/application/application-load-balancers.html#desync-mitigation-mode) *Load Balancers*.
## [ELB.13] I Load Balancer per applicazioni, reti e gateway devono estendersi su più zone di disponibilità
**Requisiti correlati:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
**Categoria: Recupero > Resilienza > Alta disponibilità**
**Gravità:** media
**Tipo di risorsa:** `AWS::ElasticLoadBalancingV2::LoadBalancer`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elbv2-multiple-az.html](https://docs.aws.amazon.com/config/latest/developerguide/elbv2-multiple-az.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| `minAvailabilityZones` | Numero minimo di zone di disponibilità | Enum | `2, 3, 4, 5, 6` | `2` |
Questo controllo verifica se un Elastic Load Balancer V2 (Application, Network o Gateway Load Balancer) ha istanze registrate da almeno il numero specificato di zone di disponibilità (). AZs Il controllo fallisce se un Elastic Load Balancer V2 non ha istanze registrate almeno nel numero specificato di. AZs A meno che non si fornisca un valore di parametro personalizzato per il numero minimo di AZs, Security Hub CSPM utilizza un valore predefinito pari a due. AZs
Il servizio Elastic Load Balancing distribuisce automaticamente il traffico in ingresso su più destinazioni, ad esempio istanze EC2, container e indirizzi IP, in una o più zone di disponibilità. Elastic Load Balancing ridimensiona il load balancer di volta in volta, in quanto il traffico in ingresso varia nel corso del tempo. Si consiglia di configurare almeno due zone di disponibilità per garantire la disponibilità dei servizi, poiché Elastic Load Balancer sarà in grado di indirizzare il traffico verso un'altra zona di disponibilità se una non è disponibile. La configurazione di più zone di disponibilità contribuirà a eliminare la presenza di un unico punto di errore per l'applicazione.
### Correzione
Per aggiungere una zona di disponibilità a un Application Load Balancer, consulta [Availability Zones for your Application Load](https://docs.aws.amazon.com//elasticloadbalancing/latest/application/load-balancer-subnets.html) Balancer nella *User Guide for* Application Load Balancer. Per aggiungere una zona di disponibilità a un Network Load Balancer, consulta [Network Load Balancer](https://docs.aws.amazon.com//elasticloadbalancing/latest/network/network-load-balancers.html#availability-zones) nella *User Guide for* Network Load Balancer. Per aggiungere una zona di disponibilità a un Gateway Load Balancer, vedere [Create a Gateway Load Balancer](https://docs.aws.amazon.com//elasticloadbalancing/latest/gateway/create-load-balancer.html) nella *Guida utente per* Gateway Load Balancer.
## [ELB.14] Classic Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa
**Requisiti correlati:** NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, PCI DSS v4.0.1/6.2.4
**Categoria**: Protezione > Protezione dei dati > Integrità dei dati
**Gravità:** media
**Tipo di risorsa:** `AWS::ElasticLoadBalancing::LoadBalancer`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/clb-desync-mode-check.html](https://docs.aws.amazon.com/config/latest/developerguide/clb-desync-mode-check.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
+ `desyncMode`: `defensive, strictest` (non personalizzabile)
Questo controllo verifica se un Classic Load Balancer è configurato con la modalità difensiva o la più rigorosa di mitigazione della desincronizzazione. Il controllo fallisce se il Classic Load Balancer non è configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa.
I problemi relativi a HTTP Desync possono portare al contrabbando di richieste e rendere le applicazioni vulnerabili all'avvelenamento della coda delle richieste o della cache. A loro volta, queste vulnerabilità possono portare al dirottamento delle credenziali o all'esecuzione di comandi non autorizzati. I Classic Load Balancer configurati con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa proteggono l'applicazione dai problemi di sicurezza che potrebbero essere causati da HTTP Desync.
### Correzione
Per aggiornare la modalità di mitigazione della desincronizzazione su un Classic Load Balancer, [consulta Modify desync mitigation](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/config-desync-mitigation-mode.html#update-desync-mitigation-mode) mode nella *User* Guide for Classic Load Balancer.
## [ELB.16] Gli Application Load Balancer devono essere associati a un ACL web AWS WAF
Requisiti **correlati**: (21) NIST.800-53.r5 AC-4
**Categoria:** Proteggi > Servizi di protezione
**Gravità:** media
**Tipo di risorsa:** `AWS::ElasticLoadBalancingV2::LoadBalancer`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/alb-waf-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/alb-waf-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un Application Load Balancer è associato a una lista di controllo degli accessi AWS WAF classica o AWS WAF Web (Web ACL). Il controllo fallisce se il `Enabled` campo per la AWS WAF configurazione è impostato su. `false`
AWS WAF è un firewall per applicazioni Web che aiuta a proteggere le applicazioni Web e APIs dagli attacchi. Con AWS WAF, puoi configurare un ACL Web, ovvero un insieme di regole che consentono, bloccano o contano le richieste Web in base a regole e condizioni di sicurezza Web personalizzabili da te definite. Ti consigliamo di associare l'Application Load Balancer a AWS WAF un ACL web per proteggerlo da attacchi dannosi.
### Correzione
*Per associare un Application Load Balancer a un ACL Web, consulta [Associating or dissociating a Web ACL con una risorsa nella Developer Guide](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-associating-aws-resource.html). AWS AWS WAF *
## [ELB.17] Gli Application and Network Load Balancer con listener devono utilizzare le politiche di sicurezza consigliate
**Requisiti correlati:** NIST.800-53.r5 AC-1 7 (2) NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5 (1), NIST.800-53.r5 SC-1 2 (3), 3, 3, NIST.800-53.r5 SC-1 3 (3), NIST.800-53.r5 SC-2 (4), (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-8 (6) NIST.800-53.r5 SC-2
**Categoria: Protezione > Protezione** dei dati > Crittografia di data-in-transit
**Gravità:** media
**Tipo di risorsa:** `AWS::ElasticLoadBalancingV2::Listener`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elbv2-predefined-security-policy-ssl-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elbv2-predefined-security-policy-ssl-check.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**`sslPolicies`: `ELBSecurityPolicy-TLS13-1-2-2021-06, ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04, ELBSecurityPolicy-TLS13-1-3-2021-06, ELBSecurityPolicy-TLS13-1-3-FIPS-2023-04, ELBSecurityPolicy-TLS13-1-2-Res-2021-06, ELBSecurityPolicy-TLS13-1-2-Res-FIPS-2023-04` (non personalizzabile)
Questo controllo verifica se il listener HTTPS per un Application Load Balancer o il listener TLS per un Network Load Balancer è configurato per crittografare i dati in transito utilizzando una politica di sicurezza consigliata. Il controllo ha esito negativo se il listener HTTPS o TLS per un load balancer non è configurato per utilizzare una politica di sicurezza consigliata.
Elastic Load Balancing utilizza una configurazione di negoziazione SSL, nota come *policy di sicurezza*, per negoziare le connessioni tra un client e un sistema di bilanciamento del carico. La politica di sicurezza specifica una combinazione di protocolli e cifrari. Il protocollo stabilisce una connessione sicura tra un client e un server. Un codice è un algoritmo di crittografia che utilizza chiavi di crittografia per creare un messaggio codificato. Durante il processo di negoziazione della connessione, il client e il sistema di bilanciamento del carico forniscono un elenco di crittografie e protocolli supportati, in ordine di preferenza. L'utilizzo di una politica di sicurezza consigliata per un sistema di bilanciamento del carico può aiutarti a soddisfare gli standard di conformità e sicurezza.
### Correzione
[Per informazioni sulle politiche di sicurezza consigliate e su come aggiornare i listener, consulta le seguenti sezioni delle guide *utente di Elastic Load Balancing*[: Criteri di sicurezza per Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/describe-ssl-policies.html), Criteri di [sicurezza per Network Load Balancer,](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/describe-ssl-policies.html) Aggiornamento di un listener HTTPS [per Application Load Balancer e Aggiornamento di un](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/listener-update-certificates.html) listener per Network Load Balancer.](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/listener-update-rules.html)
## [ELB.18] I listener di Application e Network Load Balancer devono utilizzare protocolli sicuri per crittografare i dati in transito
**Categoria:** Protezione > Protezione dei dati > Crittografia di data-in-transit
**Gravità:** media
**Tipo di risorsa:** `AWS::ElasticLoadBalancingV2::Listener`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elbv2-listener-encryption-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/elbv2-listener-encryption-in-transit.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se il listener di un Application Load Balancer o Network Load Balancer è configurato per utilizzare un protocollo sicuro per la crittografia dei dati in transito. Il controllo ha esito negativo se un listener Application Load Balancer non è configurato per utilizzare il protocollo HTTPS o un listener Network Load Balancer non è configurato per utilizzare il protocollo TLS.
Per crittografare i dati trasmessi tra un client e un sistema di bilanciamento del carico, i listener Elastic Load Balancer devono essere configurati per utilizzare i protocolli di sicurezza standard del settore: HTTPS per Application Load Balancers o TLS per Network Load Balancers. In caso contrario, i dati trasmessi tra un client e un sistema di bilanciamento del carico sono vulnerabili all'intercettazione, alla manomissione e all'accesso non autorizzato. L'uso di HTTPS o TLS da parte di un listener è in linea con le migliori pratiche di sicurezza e aiuta a garantire la riservatezza e l'integrità dei dati durante la trasmissione. Ciò è particolarmente importante per le applicazioni che gestiscono informazioni sensibili o che devono rispettare gli standard di sicurezza che richiedono la crittografia dei dati in transito.
### Correzione
Per informazioni sulla configurazione dei protocolli di sicurezza per i listener, consulta le seguenti sezioni delle guide *utente di Elastic Load Balancing*[: Crea un listener HTTPS per il tuo Application Load Balancer [e Crea un listener per](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/create-listener.html) il tuo Network Load](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-https-listener.html) Balancer.
## [ELB.21] I gruppi target di Application e Network Load Balancer devono utilizzare protocolli di controllo dello stato crittografati
**Categoria:** Protezione > Protezione dei dati > Crittografia di data-in-transit
**Gravità:** media
**Tipo di risorsa:** `AWS::ElasticLoadBalancingV2::TargetGroup`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elbv2-targetgroup-healthcheck-protocol-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/elbv2-targetgroup-healthcheck-protocol-encrypted.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se il gruppo target per i controlli dello stato delle applicazioni e del bilanciamento del carico di rete utilizza un protocollo di trasporto crittografato. Il controllo ha esito negativo se il protocollo di controllo dello stato di salute non utilizza HTTPS. Questo controllo non è applicabile ai tipi di target Lambda.
I Load Balancer inviano richieste di controllo dello stato di salute ai target registrati per determinarne lo stato e indirizzare il traffico di conseguenza. Il protocollo di controllo dello stato di salute specificato nella configurazione del gruppo target determina come vengono eseguiti questi controlli. Quando i protocolli di controllo dello stato di salute utilizzano comunicazioni non crittografate come HTTP, le richieste e le risposte possono essere intercettate o manipolate durante la trasmissione. Ciò consente agli aggressori di ottenere informazioni sulla configurazione dell'infrastruttura, alterare i risultati dei controlli sanitari o condurre attacchi che influiscono sulle decisioni di routing. man-in-the-middle L'utilizzo di HTTPS per i controlli sanitari fornisce una comunicazione crittografata tra il sistema di bilanciamento del carico e i suoi obiettivi, proteggendo l'integrità e la riservatezza delle informazioni sullo stato di salute.
### Correzione
Per configurare controlli di integrità crittografati per il tuo gruppo target di Application Load Balancer, consulta [Aggiornare le impostazioni del controllo dello stato di un gruppo target di Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/modify-health-check-settings.html) nella *Elastic Load Balancing* User Guide. Per configurare controlli di integrità crittografati per il tuo gruppo target Network Load Balancer, consulta [Aggiornare le impostazioni del controllo dello stato di un gruppo target di Network Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/modify-health-check-settings.html) nella *Elastic Load Balancing* User Guide.
## [ELB.22] I gruppi target ELB devono utilizzare protocolli di trasporto crittografati
**Categoria:** Proteggi > Protezione dei dati > Crittografia di data-in-transit
**Gravità:** media
**Tipo di risorsa:** `AWS::ElasticLoadBalancingV2::TargetGroup`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elbv2-targetgroup-protocol-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/elbv2-targetgroup-protocol-encrypted.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un gruppo target Elastic Load Balancing utilizza un protocollo di trasporto crittografato. Questo controllo non si applica ai gruppi target con un tipo di destinazione Lambda o ALB o ai gruppi target che utilizzano il protocollo GENEVE. Il controllo fallisce se il gruppo target non utilizza il protocollo HTTPS, TLS o QUIC.
La crittografia dei dati in transito li protegge dall'intercettazione da parte di utenti non autorizzati. I gruppi target che utilizzano protocolli non crittografati (HTTP, TCP, UDP) trasmettono i dati senza crittografia, rendendoli vulnerabili alle intercettazioni. L'utilizzo di protocolli crittografati (HTTPS, TLS, QUIC) garantisce la protezione dei dati trasmessi tra i sistemi di bilanciamento del carico e le destinazioni.
### Correzione
Per utilizzare un protocollo crittografato, è necessario creare un nuovo gruppo target con il protocollo HTTPS, TLS o QUIC. Il protocollo del gruppo target non può essere modificato dopo la creazione. Per creare un gruppo target di Application Load Balancer, consulta [Creare un gruppo target per il tuo Application Load Balancer nella Elastic Load](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-target-group.html) *Balancing* User Guide. Per creare un gruppo target di Network Load Balancer, consulta [Creare un gruppo target per il Network Load Balancer nella Elastic Load](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/create-target-group.html) *Balancing* User Guide.
# Security Hub CSPM per Elasticsearch
Questi AWS Security Hub CSPM controlli valutano il servizio e le risorse Elasticsearch.
Questi controlli potrebbero non essere disponibili in tutti. Regioni AWS Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [ES.1] I domini Elasticsearch devono avere la crittografia a riposo abilitata
**Requisiti correlati:** PCI DSS v3.2.1/3.4, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.r5 NIST.800-53.r5 SC-2 SI-7 (6) NIST.800-53.r5 SC-7
**Categoria**: Protezione > Protezione dei dati > Crittografia di data-at-rest
**Gravità:** media
**Tipo di risorsa:** `AWS::Elasticsearch::Domain`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-encrypted-at-rest.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se nei domini Elasticsearch è abilitata la configurazione Encryption at Rest. Il controllo non riesce se la crittografia dei dati inattivi non è abilitata.
Per un ulteriore livello di sicurezza per i tuoi dati sensibili OpenSearch, dovresti configurarli in modo che vengano crittografati quando sono inattivi. OpenSearch I domini Elasticsearch offrono la crittografia dei dati archiviati. La funzionalità consente di AWS KMS archiviare e gestire le chiavi di crittografia. Per eseguire la crittografia, utilizza l'algoritmo Advanced Encryption Standard con chiavi a 256 bit (AES-256).
Per ulteriori informazioni sulla OpenSearch crittografia a riposo, consulta [Encryption of data at rest for Amazon OpenSearch Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/encryption-at-rest.html) nella *Amazon OpenSearch Service Developer Guide*.
Alcuni tipi di istanze, come `t.small` e`t.medium`, non supportano la crittografia dei dati inattivi. Per i dettagli, consulta la sezione [Tipi di istanze supportati](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/supported-instance-types.html) nella *Amazon OpenSearch Service Developer Guide*.
### Correzione
Per abilitare la crittografia a riposo per i domini Elasticsearch nuovi ed esistenti, consulta [Enabling encryption of data at rest nella](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/encryption-at-rest.html#enabling-ear) *Amazon OpenSearch Service* Developer Guide.
## [ES.2] I domini Elasticsearch non devono essere accessibili al pubblico
**Requisiti correlati:** PCI DSS versione 3.2.1/1.2.1, PCI DSS versione 3.2.1/1.3.1, PCI DSS versione 3.2.1/1.3.2, PCI DSS versione 3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7),, (21),, (11), (16), (20), (21) NIST.800-53.r5 AC-3, (3) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (4)), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, PCI DSS versione 4.0.1/1.4.4 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
**Categoria:** Protezione > Configurazione di rete sicura > Risorse all'interno del VPC
**Severità:** critica
**Tipo di risorsa:** `AWS::Elasticsearch::Domain`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-in-vpc-only.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-in-vpc-only.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se i domini Elasticsearch si trovano in un VPC. Non valuta la configurazione del routing della sottorete VPC per determinare l'accesso pubblico. È necessario assicurarsi che i domini Elasticsearch non siano collegati a sottoreti pubbliche. Consulta [le politiche basate sulle risorse](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ac.html#ac-types-resource) nella *Amazon OpenSearch Service* Developer Guide. È inoltre necessario assicurarsi che il VPC sia configurato in base alle procedure consigliate. Consulta [le best practice di sicurezza per il tuo VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-best-practices.html) nella Amazon *VPC* User Guide.
I domini Elasticsearch distribuiti all'interno di un VPC possono comunicare con le risorse VPC sulla rete AWS privata, senza la necessità di attraversare la rete Internet pubblica. Questa configurazione aumenta il livello di sicurezza limitando l'accesso ai dati in transito. VPCs forniscono una serie di controlli di rete per proteggere l'accesso ai domini Elasticsearch, inclusi ACL di rete e gruppi di sicurezza. Security Hub CSPM consiglia di migrare i domini Elasticsearch pubblici VPCs per sfruttare questi controlli.
### Correzione
Se si crea un dominio con un endpoint pubblico, non è possibile inserirlo in un VPC in un secondo momento. Devi invece creare un nuovo dominio ed eseguire la migrazione dei dati. È vero anche il contrario. Se si crea un dominio all'interno di un VPC, non può avere un endpoint pubblico. È invece necessario [creare un altro dominio](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createupdatedomains.html) o disabilitare questo controllo.
Consulta [Lanciare i tuoi domini Amazon OpenSearch Service all'interno di un VPC nella](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/vpc.html) *Amazon OpenSearch * Service Developer Guide.
## [ES.3] I domini Elasticsearch devono crittografare i dati inviati tra i nodi
**Requisiti correlati:** NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3 (3), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-7 (1), NIST.800-53.r5 SC-8 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 PCI DSS v4.0.1/4.2.1
**Categoria: Protezione > Protezione dei dati > Crittografia** di data-in-transit
**Gravità:** media
**Tipo di risorsa:** `AWS::Elasticsearch::Domain`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-node-to-node-encryption-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-node-to-node-encryption-check.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un dominio Elasticsearch ha node-to-node la crittografia abilitata. Il controllo ha esito negativo se il dominio Elasticsearch non ha la crittografia abilitata. node-to-node Il controllo produce risultati non riusciti anche se una versione di Elasticsearch non supporta i controlli di crittografia. node-to-node
HTTPS (TLS) può essere utilizzato per impedire a potenziali aggressori di intercettare o manipolare il traffico di rete utilizzando attacchi simili. person-in-the-middle Devono essere consentite solo le connessioni crittografate tramite HTTPS (TLS). L'abilitazione della node-to-node crittografia per i domini Elasticsearch garantisce che le comunicazioni all'interno del cluster siano crittografate in transito.
Questa configurazione può comportare un calo delle prestazioni. È necessario conoscere e testare il compromesso in termini di prestazioni prima di attivare questa opzione.
### Correzione
Per informazioni sull'attivazione della node-to-node crittografia su domini nuovi ed esistenti, consulta [ node-to-nodeEnabling encryption](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ntn.html#enabling-ntn) nella *Amazon OpenSearch Service Developer Guide*.
## [ES.4] La registrazione degli errori del dominio Elasticsearch nei log deve essere abilitata CloudWatch
**Requisiti correlati:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7
**Categoria:** Identificazione - Registrazione
**Gravità:** media
**Tipo di risorsa:** `AWS::Elasticsearch::Domain`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-logs-to-cloudwatch.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
+ `logtype = 'error'`(non personalizzabile)
Questo controllo verifica se i domini Elasticsearch sono configurati per inviare log di errori a Logs. CloudWatch
È necessario abilitare i log degli errori per i domini Elasticsearch e inviarli a Logs per la conservazione e la risposta. CloudWatch I log degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e per diagnosticare i problemi di disponibilità.
### Correzione
Per informazioni su come abilitare la pubblicazione dei log, consulta [Enabling log publishing (console)](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createdomain-configure-slow-logs.html#createdomain-configure-slow-logs-console) nella *Amazon OpenSearch Service Developer Guide*.
## [ES.5] I domini Elasticsearch devono avere la registrazione di controllo abilitata
**Requisiti correlati:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.4.2
**Categoria:** Identificazione > Registrazione
**Gravità:** media
**Tipo di risorsa:** `AWS::Elasticsearch::Domain`
**AWS Config regola:** `elasticsearch-audit-logging-enabled` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
+ `cloudWatchLogsLogGroupArnList`(non personalizzabile). Security Hub CSPM non compila questo parametro. Elenco separato da virgole di gruppi di CloudWatch log che devono essere configurati per i log di controllo.
Questa regola si applica `NON_COMPLIANT` se il gruppo di log CloudWatch Logs del dominio Elasticsearch non è specificato in questo elenco di parametri.
Questo controllo verifica se i domini Elasticsearch hanno la registrazione di controllo abilitata. Questo controllo ha esito negativo se un dominio Elasticsearch non ha la registrazione di controllo abilitata.
I log di controllo sono altamente personalizzabili. Ti consentono di tenere traccia delle attività degli utenti sui tuoi cluster Elasticsearch, inclusi i successi e gli errori di autenticazione, le richieste, le modifiche all' OpenSearchindice e le query di ricerca in arrivo.
### Correzione
Per istruzioni dettagliate sull'abilitazione dei log di controllo, consulta [Enabling audit logs](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/audit-logs.html#audit-log-enabling) nella *Amazon OpenSearch Service Developer Guide*.
## [ES.6] I domini Elasticsearch devono avere almeno tre nodi di dati
**Requisiti correlati:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
**Categoria: Recupero > Resilienza > Alta disponibilità**
**Gravità:** media
**Tipo di risorsa:** `AWS::Elasticsearch::Domain`
**AWS Config regola:** `elasticsearch-data-node-fault-tolerance` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:** nessuno
Questo controllo verifica se i domini Elasticsearch sono configurati con almeno tre nodi di dati e lo è. `zoneAwarenessEnabled` `true`
Un dominio Elasticsearch richiede almeno tre nodi di dati per un'elevata disponibilità e tolleranza agli errori. L'implementazione di un dominio Elasticsearch con almeno tre nodi di dati garantisce le operazioni del cluster in caso di guasto di un nodo.
### Correzione
**Per modificare il numero di nodi di dati in un dominio Elasticsearch**
1. Apri la console Amazon OpenSearch Service all'indirizzo [https://console.aws.amazon.com/aos/](https://console.aws.amazon.com/aos/).
1. In **Domini**, scegli il nome del dominio che desideri modificare.
1. Scegli **Modifica dominio**.
1. In **Nodi di dati**, imposta **Numero di nodi** su un numero maggiore o uguale a`3`.
Per tre implementazioni con zone di disponibilità, imposta un multiplo di tre per garantire una distribuzione equa tra le zone di disponibilità.
1. Seleziona **Invia**.
## [ES.7] I domini Elasticsearch devono essere configurati con almeno tre nodi master dedicati
**Requisiti correlati:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
**Categoria: Recupero > Resilienza > Alta disponibilità**
**Gravità:** media
**Tipo di risorsa:** `AWS::Elasticsearch::Domain`
**AWS Config regola:** `elasticsearch-primary-node-fault-tolerance` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:** nessuno
Questo controllo verifica se i domini Elasticsearch sono configurati con almeno tre nodi primari dedicati. Questo controllo ha esito negativo se il dominio non utilizza nodi primari dedicati. Questo controllo viene eseguito se i domini Elasticsearch hanno cinque nodi primari dedicati. Tuttavia, l'utilizzo di più di tre nodi primari potrebbe non essere necessario per mitigare il rischio di disponibilità e comportare costi aggiuntivi.
Un dominio Elasticsearch richiede almeno tre nodi primari dedicati per l'elevata disponibilità e la tolleranza agli errori. Le risorse dedicate dei nodi primari possono essere sovraccariche durante le blue/green implementazioni dei nodi dati perché ci sono nodi aggiuntivi da gestire. L'implementazione di un dominio Elasticsearch con almeno tre nodi primari dedicati garantisce una sufficiente capacità di risorse del nodo primario e operazioni del cluster in caso di guasto di un nodo.
### Correzione
**Per modificare il numero di nodi primari dedicati in un dominio OpenSearch**
1. Apri la console Amazon OpenSearch Service all'indirizzo [https://console.aws.amazon.com/aos/](https://console.aws.amazon.com/aos/).
1. In **Domini**, scegli il nome del dominio che desideri modificare.
1. Scegli **Modifica dominio**.
1. In **Nodi master dedicati**, imposta il **tipo di istanza sul tipo di** istanza desiderato.
1. Imposta **il numero di nodi master** pari o superiore a tre.
1. Seleziona **Invia**.
## [ES.8] Le connessioni ai domini Elasticsearch devono essere crittografate utilizzando la più recente politica di sicurezza TLS
**Requisiti correlati:** NIST.800-53.r5 AC-1 7 (2), NIST.800-53.r5 IA-5 (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 (3), 3, 3 (3), NIST.800-53.r5 SC-1 (4), NIST.800-53.r5 SC-2 (1), (2), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-8 NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), NIST.800-53.r5 SC-8 PCI DSS v4.0.1/4.2.1 NIST.800-53.r5 SC-2
**Categoria**: Protezione > Protezione dei dati > Crittografia di data-in-transit
**Gravità:** media
**Tipo di risorsa:** `AWS::Elasticsearch::Domain`
**AWS Config regola:** `elasticsearch-https-required` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:** nessuno
Questo controllo verifica se un endpoint del dominio Elasticsearch è configurato per utilizzare la politica di sicurezza TLS più recente. Il controllo fallisce se l'endpoint del dominio Elasticsearch non è configurato per utilizzare la politica supportata più recente o se non è abilitato. HTTPs L'ultima politica di sicurezza TLS attualmente supportata è. `Policy-Min-TLS-1-2-PFS-2023-10`
HTTPS (TLS) può essere utilizzato per impedire a potenziali aggressori di utilizzare person-in-the-middle o attacchi simili per intercettare o manipolare il traffico di rete. Devono essere consentite solo le connessioni crittografate tramite HTTPS (TLS). La crittografia dei dati in transito può influire sulle prestazioni. È consigliabile testare l'applicazione con questa funzionalità per comprendere il profilo delle prestazioni e l'impatto del TLS. TLS 1.2 offre diversi miglioramenti della sicurezza rispetto alle versioni precedenti di TLS.
### Correzione
Per abilitare la crittografia TLS, utilizzate l'operazione [https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_UpdateDomainConfig.html](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_UpdateDomainConfig.html)API per configurare l'oggetto. [https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_DomainEndpointOptions.html](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_DomainEndpointOptions.html) Questo imposta il. `TLSSecurityPolicy`
## [ES.9] I domini Elasticsearch devono essere etichettati
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::Elasticsearch::Domain`
**AWS Config regola:** `tagged-elasticsearch-domain` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | No default value |
Questo controllo verifica se un dominio Elasticsearch ha tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se il dominio non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro. `requiredTagKeys` Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il dominio non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice sull'etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
Per aggiungere tag a un dominio Elasticsearch, consulta [Working with tags](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/managedomains-awsresourcetagging.html#managedomains-awsresourcetagging-console) nella *Amazon OpenSearch Service Developer Guide*.
# Controlli CSPM del Security Hub per Amazon EMR
Questi AWS Security Hub CSPM controlli valutano il servizio e le risorse di Amazon EMR (precedentemente chiamato Amazon Elastic MapReduce). I controlli potrebbero non essere disponibili tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [EMR.1] I nodi primari del cluster Amazon EMR non devono avere indirizzi IP pubblici
**Requisiti correlati:** PCI DSS versione 3.2.1/1.2.1, PCI DSS versione 3.2.1/1.3.1, PCI DSS versione 3.2.1/1.3.2, PCI DSS versione 3.2.1/1.3.4, PCI DSS versione 3.2.1/1.3.6, PCI DSS versione 4.0.1/1.4.4, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7), (21),, (11), (16), (20) NIST.800-53.r5 AC-3, (21), (3) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (4) NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
**Categoria:** Protezione > Configurazione di rete protetta
**Gravità:** alta
**Tipo di risorsa:** `AWS::EMR::Cluster`
**AWS Config regola: emr-master-no-public** [-ip](https://docs.aws.amazon.com/config/latest/developerguide/emr-master-no-public-ip.html)
**Tipo di pianificazione: periodica**
**Parametri:** nessuno
Questo controllo verifica se i nodi master sui cluster Amazon EMR hanno indirizzi IP pubblici. Il controllo fallisce se gli indirizzi IP pubblici sono associati a una qualsiasi delle istanze del nodo master.
Gli indirizzi IP pubblici sono indicati nel `PublicIp` campo della `NetworkInterfaces` configurazione dell'istanza. Questo controllo controlla solo i cluster Amazon EMR che si trovano in uno `RUNNING` stato or. `WAITING`
### Correzione
Durante il lancio, puoi controllare se alla tua istanza in una sottorete predefinita o non predefinita viene assegnato un indirizzo pubblico. IPv4 Per impostazione predefinita, le sottoreti predefinite hanno questo attributo impostato su. `true` Le sottoreti non predefinite hanno l'attributo IPv4 public address impostato su`false`, a meno che non sia stato creato dalla procedura guidata di EC2 avvio dell'istanza di Amazon. In tal caso, l'attributo è impostato su. `true`
Dopo il lancio, non puoi dissociare manualmente un IPv4 indirizzo pubblico dalla tua istanza.
Per correggere un risultato non riuscito, è necessario avviare un nuovo cluster in un VPC con una sottorete privata con IPv4 l'attributo di indirizzamento pubblico impostato su. `false` Per istruzioni, consulta [Launch clusters in un VPC](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-vpc-launching-job-flows.html) nella *Amazon EMR* Management Guide.
## [EMR.2] L'impostazione di accesso pubblico a blocchi di Amazon EMR deve essere abilitata
**Requisiti correlati:** PCI DSS v4.0.1/1.4.4, NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21) NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (11) NIST.800-53.r5 AC-6, (16) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
**Categoria: Protezione > Gestione sicura degli accessi** > Risorsa non accessibile al pubblico
**Severità:** critica
**Tipo di risorsa:** `AWS::::Account`
**Regola AWS Config : ** [emr-block-public-access](https://docs.aws.amazon.com/config/latest/developerguide/emr-block-public-access.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se il tuo account è configurato con l'accesso pubblico a blocchi di Amazon EMR. Il controllo fallisce se l'impostazione di blocco dell'accesso pubblico non è abilitata o se è consentita una porta diversa dalla porta 22.
L'accesso pubblico a blocchi di Amazon EMR impedisce l'avvio di un cluster in una sottorete pubblica se il cluster ha una configurazione di sicurezza che consente il traffico in entrata da indirizzi IP pubblici su una porta. Quando un utente dal tuo Account AWS avvia un cluster, Amazon EMR controlla le regole delle porte nel gruppo di sicurezza per il cluster e le confronta con le regole del traffico in entrata. Se il gruppo di sicurezza ha una regola in entrata che apre le porte agli indirizzi IP pubblici IPv4 0.0.0.0/0 o IPv6 : :/0 e tali porte non sono specificate come eccezioni per il tuo account, Amazon EMR non consente all'utente di creare il cluster.
**Nota**
Il blocco dell'accesso pubblico è abilitato per impostazione predefinita. Per aumentare la protezione degli account, ti consigliamo di mantenerlo abilitato.
### Correzione
Per configurare l'accesso pubblico a blocchi per Amazon EMR, consulta Using [Amazon EMR block public access nella](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-block-public-access.html) Amazon *EMR* Management Guide.
## [EMR.3] Le configurazioni di sicurezza di Amazon EMR devono essere crittografate quando sono inattive
**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CP-9 (8), NIST.800-53.r5 SI-12
**Categoria**: Protezione > Protezione dei dati > Crittografia di data-at-rest
**Gravità:** media
**Tipo di risorsa:** `AWS::EMR::SecurityConfiguration`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/emr-security-configuration-encryption-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/emr-security-configuration-encryption-rest.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se una configurazione di sicurezza di Amazon EMR ha la crittografia a riposo abilitata. Il controllo fallisce se la configurazione di sicurezza non abilita la crittografia a riposo.
I dati inattivi si riferiscono ai dati archiviati in uno spazio di archiviazione persistente e non volatile per qualsiasi durata. La crittografia dei dati inutilizzati consente di proteggerne la riservatezza, riducendo il rischio che un utente non autorizzato possa accedervi.
### Correzione
Per abilitare la crittografia a riposo in una configurazione di sicurezza di Amazon EMR, consulta [Configurare la crittografia dei dati](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-create-security-configuration.html#emr-security-configuration-encryption.html) nella Amazon *EMR Management Guide.*
## [EMR.4] Le configurazioni di sicurezza di Amazon EMR devono essere crittografate in transito
**Requisiti correlati:** NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-7 (4) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 (1), NIST.800-53.r5 SC-8 (2), NIST.800-53.r5 SC-1 3, 3, 3 ( NIST.800-53.r5 SC-23) NIST.800-53.r5 SC-2
**Categoria:** Protezione > Protezione dei dati > Crittografia di data-in-transit
**Gravità:** media
**Tipo di risorsa:** `AWS::EMR::SecurityConfiguration`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/emr-security-configuration-encryption-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/emr-security-configuration-encryption-transit.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se una configurazione di sicurezza di Amazon EMR ha la crittografia in transito abilitata. Il controllo fallisce se la configurazione di sicurezza non abilita la crittografia in transito.
I dati in transito si riferiscono ai dati che si spostano da una posizione all'altra, ad esempio tra i nodi del cluster o tra il cluster e l'applicazione. I dati possono spostarsi su Internet o all'interno di una rete privata. La crittografia dei dati in transito riduce il rischio che un utente non autorizzato possa intercettare il traffico di rete.
### Correzione
Per abilitare la crittografia in transito in una configurazione di sicurezza di Amazon EMR, consulta [Configurare la crittografia dei dati](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-create-security-configuration.html#emr-security-configuration-encryption.html) nella Amazon *EMR Management Guide.*
# Controlli CSPM Security Hub per EventBridge
Questi AWS Security Hub CSPM controlli valutano il EventBridge servizio e le risorse Amazon.
Questi controlli potrebbero non essere disponibili tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [EventBridge.2] i bus EventBridge degli eventi devono essere etichettati
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::Events::EventBus`
**AWS Config regola:** `tagged-events-eventbus` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un bus di EventBridge eventi Amazon ha tag con le chiavi specifiche definite nel parametro`requiredTagKeys`. Il controllo fallisce se il bus degli eventi non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il bus di eventi non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
Per aggiungere tag a un bus di EventBridge eventi, consulta i [ EventBridge tag Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-tagging.html) nella *Amazon EventBridge User Guide*.
## [EventBridge.3] i bus di eventi EventBridge personalizzati dovrebbero avere una politica basata sulle risorse allegata
**Requisiti correlati:** NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-2 (1), (15) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7),, NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6 (3) NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6, PCI DSS v4.0.1/10.3.1
**Categoria: Protezione > Gestione sicura degli accessi** > Risorsa non accessibile al pubblico
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::Events::EventBus`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/custom-eventbus-policy-attached.html](https://docs.aws.amazon.com/config/latest/developerguide/custom-eventbus-policy-attached.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se a un bus di eventi EventBridge personalizzato Amazon è associata una policy basata sulle risorse. Questo controllo fallisce se il bus di eventi personalizzato non dispone di una politica basata sulle risorse.
Per impostazione predefinita, a un bus di eventi EventBridge personalizzato non è associata una policy basata sulle risorse. Ciò consente ai responsabili dell'account di accedere al bus degli eventi. Allegando una policy basata sulle risorse al bus degli eventi, è possibile limitare l'accesso al bus degli eventi a determinati account, nonché concedere intenzionalmente l'accesso alle entità in un altro account.
### Correzione
*Per allegare una policy basata sulle risorse a un bus di eventi EventBridge personalizzato, consulta [Using resource-based policies for Amazon EventBridge nella Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-use-resource-based.html) User Guide. EventBridge *
## [EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata
**Requisiti correlati:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
**Categoria: Recupero > Resilienza > Alta disponibilità**
**Gravità:** media
**Tipo di risorsa:** `AWS::Events::Endpoint`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/global-endpoint-event-replication-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/global-endpoint-event-replication-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se la replica degli eventi è abilitata per un endpoint EventBridge globale Amazon. Il controllo fallisce se la replica degli eventi non è abilitata per un endpoint globale.
Gli endpoint globali aiutano a rendere l'applicazione tollerante ai guasti regionali. Innanzitutto, devi assegnare un controllo dell'integrità Amazon Route 53 all'endpoint. Quando viene avviato il failover, il controllo dello stato segnala uno stato «non integro». Entro pochi minuti dall'avvio del failover, tutti gli eventi personalizzati vengono instradati a un router di eventi nella Regione secondaria e vengono elaborati da tale router di eventi. Quando utilizzi endpoint globali, puoi abilitare la replica degli eventi. La replica degli eventi invia tutti gli eventi personalizzati ai router di eventi nelle Regioni primarie e secondarie utilizzando regole gestite. Si consiglia di abilitare la replica degli eventi durante la configurazione degli endpoint globali. La replica degli eventi consente di verificare la corretta configurazione degli endpoint globali. La replica degli eventi è necessaria per il ripristino automatico da un evento di failover. Se non hai abilitato la replica degli eventi, dovrai reimpostare manualmente il controllo di integrità della Route 53 su «integro» prima che gli eventi vengano reindirizzati alla regione principale.
**Nota**
Se utilizzi bus di eventi personalizzati, avrai bisogno di un bus pari personalizzato in ogni regione con lo stesso nome e nello stesso account affinché il failover funzioni correttamente. L'abilitazione della replica degli eventi può aumentare i costi mensili. Per informazioni sui prezzi, consulta la pagina [ EventBridge dei prezzi di Amazon](https://aws.amazon.com/eventbridge/pricing/).
### Correzione
Per abilitare la replica degli eventi per gli endpoint EventBridge globali, consulta [Create a global endpoint](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-global-endpoints.html#eb-ge-create-endpoint) nella *Amazon EventBridge * User Guide. **Per la **replica degli eventi, seleziona Replica degli** eventi abilitata.**
# Controlli CSPM di Security Hub per Amazon Fraud Detector
Questi controlli CSPM di Security Hub valutano il servizio e le risorse di Amazon Fraud Detector.
Questi controlli potrebbero non essere disponibili tutti. Regioni AWS Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::FraudDetector::EntityType`
**Regola AWS Config : ** `frauddetector-entity-type-tagged`
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un tipo di entità Amazon Fraud Detector ha tag con le chiavi specifiche definite nel parametro. `requiredKeyTags` Il controllo fallisce se il tipo di entità non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredKeyTags`. Se il parametro `requiredKeyTags` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il tipo di entità non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella Guida per l'utente *IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Migliori pratiche e strategie](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) nella Guida per l'*utente di Tagging AWS Resources and Tag Editor*.
### Correzione
**Per aggiungere tag a un tipo di entità Amazon Fraud Detector (console)**
1. [Apri la console Amazon Fraud Detector all'indirizzo https://console.aws.amazon.com /frauddetector.](https://console.aws.amazon.com/frauddetector/)
1. **Nel pannello di navigazione, scegli Entità.**
1. Seleziona un tipo di entità dall'elenco.
1. Nella sezione **tag del tipo di entità**, scegli **Gestisci tag**.
1. Scegli **Aggiungi nuovo tag**. Immettere una chiave e un valore per il tag. Ripeti l'operazione per ulteriori coppie chiave-valore.
1. Una volta completata l'aggiunta di tag, scegliere **Save (Salva)**.
## [FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::FraudDetector::Label`
**Regola AWS Config : ** `frauddetector-label-tagged`
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un'etichetta Amazon Fraud Detector contiene tag con le chiavi specifiche definite nel parametro. `requiredKeyTags` Il controllo fallisce se l'etichetta non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredKeyTags`. Se il parametro `requiredKeyTags` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'etichetta non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella Guida per l'utente *IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Migliori pratiche e strategie](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) nella Guida per l'*utente di Tagging AWS Resources and Tag Editor*.
### Correzione
**Per aggiungere tag a un'etichetta Amazon Fraud Detector (console)**
1. [Apri la console Amazon Fraud Detector all'indirizzo https://console.aws.amazon.com /frauddetector.](https://console.aws.amazon.com/frauddetector/)
1. **Nel pannello di navigazione, scegli Etichette.**
1. Seleziona un'etichetta dall'elenco.
1. Nella sezione **etichette e tag**, scegli **Gestisci tag**.
1. Scegli **Aggiungi nuovo tag**. Immettere una chiave e un valore per il tag. Ripeti l'operazione per ulteriori coppie chiave-valore.
1. Una volta completata l'aggiunta di tag, scegliere **Save (Salva)**.
## [FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati
**Categoria: Identificazione > Inventario** > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::FraudDetector::Outcome`
**Regola AWS Config : ** `frauddetector-outcome-tagged`
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un risultato di Amazon Fraud Detector presenta tag con le chiavi specifiche definite nel parametro. `requiredKeyTags` Il controllo fallisce se il risultato non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredKeyTags`. Se il parametro `requiredKeyTags` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il risultato non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella Guida per l'utente *IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Migliori pratiche e strategie](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) nella Guida per l'*utente di Tagging AWS Resources and Tag Editor*.
### Correzione
**Per aggiungere tag a un risultato di Amazon Fraud Detector (console)**
1. [Apri la console Amazon Fraud Detector all'indirizzo https://console.aws.amazon.com /frauddetector.](https://console.aws.amazon.com/frauddetector/)
1. **Nel riquadro di navigazione, scegli Risultati.**
1. Seleziona un risultato dall'elenco.
1. Nella sezione dei **tag dei risultati**, scegli **Gestisci tag**.
1. Scegli **Aggiungi nuovo tag**. Immettere una chiave e un valore per il tag. Ripeti l'operazione per ulteriori coppie chiave-valore.
1. Una volta completata l'aggiunta di tag, scegliere **Save (Salva)**.
## [FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::FraudDetector::Variable`
**Regola AWS Config : ** `frauddetector-variable-tagged`
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se una variabile Amazon Fraud Detector contiene tag con le chiavi specifiche definite nel parametro. `requiredKeyTags` Il controllo fallisce se la variabile non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredKeyTags`. Se il parametro `requiredKeyTags` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se la variabile non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella Guida per l'utente *IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Migliori pratiche e strategie](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) nella Guida per l'*utente di Tagging AWS Resources and Tag Editor*.
### Correzione
**Per aggiungere tag a una variabile Amazon Fraud Detector (console)**
1. [Apri la console Amazon Fraud Detector all'indirizzo https://console.aws.amazon.com /frauddetector.](https://console.aws.amazon.com/frauddetector/)
1. **Nel pannello di navigazione, scegli Variabili.**
1. Seleziona una variabile dall'elenco.
1. Nella sezione dei **tag delle variabili**, scegli **Gestisci tag**.
1. Scegli **Aggiungi nuovo tag**. Immettere una chiave e un valore per il tag. Ripeti l'operazione per ulteriori coppie chiave-valore.
1. Una volta completata l'aggiunta di tag, scegliere **Save (Salva)**.
# Controlli CSPM Security Hub per Amazon FSx
Questi AWS Security Hub CSPM controlli valutano il FSx servizio e le risorse Amazon. I controlli potrebbero non essere disponibili in tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [FSx.1] FSx per i file system OpenZFS deve essere configurato per copiare i tag su backup e volumi
**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2 (2)
**Categoria**: Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::FSx::FileSystem`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/fsx-openzfs-copy-tags-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/fsx-openzfs-copy-tags-enabled.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se un file system Amazon FSx for OpenZFS è configurato per copiare i tag su backup e volumi. Il controllo fallisce se il file system OpenZFS non è configurato per copiare i tag su backup e volumi.
L'identificazione e l'inventario delle risorse IT sono un aspetto importante della governance e della sicurezza. I tag consentono di classificare AWS le risorse in diversi modi, ad esempio per scopo, proprietario o ambiente. Ciò è utile quando si dispone di molte risorse dello stesso tipo, in quanto è possibile identificare rapidamente una risorsa specifica in base ai tag che le sono stati assegnati.
### Correzione
Per informazioni sulla configurazione di un file system FSx for OpenZFS per copiare i tag su backup e volumi, consulta [Updating a file system nella](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/updating-file-system.html) *Amazon FSx for* OpenZFS User Guide.
## [FSx.2] FSx per i file system Lustre devono essere configurati per copiare i tag nei backup
**Requisiti correlati:** NIST.800-53.r5 CP-9, NIST.800-53.r5 CM-8
**Categoria**: Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::FSx::FileSystem`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/fsx-lustre-copy-tags-to-backups.html](https://docs.aws.amazon.com/config/latest/developerguide/fsx-lustre-copy-tags-to-backups.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se un file system Amazon FSx for Lustre è configurato per copiare i tag su backup e volumi. Il controllo fallisce se il file system Lustre non è configurato per copiare i tag su backup e volumi.
L'identificazione e l'inventario delle risorse IT sono un aspetto importante della governance e della sicurezza. I tag consentono di classificare AWS le risorse in diversi modi, ad esempio per scopo, proprietario o ambiente. Ciò è utile quando si dispone di molte risorse dello stesso tipo, in quanto è possibile identificare rapidamente una risorsa specifica in base ai tag che le sono stati assegnati.
### Correzione
Per informazioni sulla configurazione di un file system FSx for Lustre per copiare i tag nei backup, [consulta Copiare i backup all'interno dello stesso nella](https://docs.aws.amazon.com/fsx/latest/LustreGuide/copying-backups-same-account.html) *Amazon FSx * for Lustre Account AWS User Guide.
## [FSx.3] FSx per i file system OpenZFS deve essere configurato per l'implementazione Multi-AZ
**Categoria: Recupero > Resilienza** > Alta disponibilità
**Gravità:** media
**Tipo di risorsa:** `AWS::FSx::FileSystem`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/fsx-openzfs-deployment-type-check.html](https://docs.aws.amazon.com/config/latest/developerguide/fsx-openzfs-deployment-type-check.html)
**Tipo di pianificazione:** periodica
**Parametri:** `deploymentTypes: MULTI_AZ_1` (non personalizzabile)
Questo controllo verifica se un file system Amazon FSx for OpenZFS è configurato per utilizzare il tipo di distribuzione con più zone di disponibilità (Multi-AZ). Il controllo fallisce se il file system non è configurato per utilizzare il tipo di implementazione Multi-AZ.
*Amazon FSx for OpenZFS supporta diversi tipi di implementazione per i file system: *Multi-AZ (HA), Single-AZ (HA)* *e Single-AZ (non HA)*.* I tipi di implementazione offrono diversi livelli di disponibilità e durabilità. I file system Multi-AZ (HA) sono composti da una coppia di file server ad alta disponibilità (HA) distribuiti su due zone di disponibilità (AZs). Consigliamo di utilizzare il tipo di implementazione Multi-AZ (HA) per la maggior parte dei carichi di lavoro di produzione, grazie al modello di elevata disponibilità e durabilità che offre.
### Correzione
Puoi configurare un file system Amazon FSx for OpenZFS per utilizzare il tipo di distribuzione Multi-AZ quando crei il file system. Non puoi modificare il tipo di distribuzione di un file system esistente FSx per OpenZFS.
Per informazioni sui tipi e sulle opzioni di distribuzione FSx per i file system OpenZFS, consulta [Disponibilità e durabilità FSx per Amazon for OpenZFS](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/availability-durability.html) e [Gestione delle risorse del file system nella](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/managing-file-systems.html) Guida per l'utente di *Amazon FSx for* OpenZFS.
## [FSx.4] FSx per i file system NetApp ONTAP deve essere configurato per l'implementazione Multi-AZ
**Categoria:** Recupero > Resilienza > Alta disponibilità
**Gravità:** media
**Tipo di risorsa:** `AWS::FSx::FileSystem`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/fsx-ontap-deployment-type-check.html](https://docs.aws.amazon.com/config/latest/developerguide/fsx-ontap-deployment-type-check.html)
**Tipo di pianificazione:** periodica
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| `deploymentTypes` | Un elenco di tipi di distribuzione da includere nella valutazione. Il controllo genera un `FAILED` risultato se un file system non è configurato per utilizzare un tipo di distribuzione specificato nell'elenco. | Enum | `MULTI_AZ_1`, `MULTI_AZ_2` | `MULTI_AZ_1`, `MULTI_AZ_2` |
Questo controllo verifica se un file system Amazon FSx for NetApp ONTAP è configurato per utilizzare un tipo di distribuzione con più zone di disponibilità (Multi-AZ). Il controllo fallisce se il file system non è configurato per utilizzare un tipo di implementazione Multi-AZ. Facoltativamente, è possibile specificare un elenco di tipi di distribuzione da includere nella valutazione.
*Amazon FSx for NetApp ONTAP supporta diversi tipi di implementazione per i file system: *Single-AZ 1, Single-AZ* *2, Multi-AZ* *1 e Multi-AZ* 2.* I tipi di implementazione offrono diversi livelli di disponibilità e durabilità. Consigliamo di utilizzare un tipo di implementazione Multi-AZ per la maggior parte dei carichi di lavoro di produzione, grazie al modello di elevata disponibilità e durabilità fornito dai tipi di implementazione Multi-AZ. I file system Multi-AZ supportano tutte le funzionalità di disponibilità e durabilità dei file system Single-AZ. Inoltre, sono progettati per fornire una disponibilità continua dei dati anche quando una zona di disponibilità (AZ) non è disponibile.
### Correzione
Non puoi modificare il tipo di distribuzione per un file system Amazon FSx for NetApp ONTAP esistente. Tuttavia, puoi eseguire il backup dei dati e quindi ripristinarli su un nuovo file system che utilizza un tipo di distribuzione Multi-AZ.
Per informazioni sui tipi e sulle opzioni di distribuzione FSx per i file system ONTAP, consulta [Disponibilità, durabilità e opzioni di implementazione e](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/high-availability-AZ.html) [Gestione dei file system](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/managing-file-systems.html) nella Guida *FSx per l'utente di for ONTAP*.
## [FSx.5] FSx per i file system Windows File Server devono essere configurati per l'implementazione Multi-AZ
**Categoria:** Recupero > Resilienza > Alta disponibilità
**Gravità:** media
**Tipo di risorsa:** `AWS::FSx::FileSystem`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/fsx-windows-deployment-type-check.html](https://docs.aws.amazon.com/config/latest/developerguide/fsx-windows-deployment-type-check.html)
**Tipo di pianificazione:** periodica
**Parametri:** `deploymentTypes: MULTI_AZ_1` (non personalizzabile)
Questo controllo verifica se un file system Amazon FSx for Windows File Server è configurato per utilizzare il tipo di distribuzione con più zone di disponibilità (Multi-AZ). Il controllo fallisce se il file system non è configurato per utilizzare il tipo di distribuzione Multi-AZ.
Amazon FSx for Windows File Server supporta due tipi di distribuzione per i file system: *Single-AZ e *Multi-AZ**. I tipi di implementazione offrono diversi livelli di disponibilità e durabilità. I file system Single-AZ sono composti da una singola istanza di file server Windows e da un set di volumi di storage all'interno di un'unica zona di disponibilità (AZ). I file system Multi-AZ sono composti da un cluster ad alta disponibilità di file server Windows distribuiti su due zone di disponibilità. Consigliamo di utilizzare il tipo di implementazione Multi-AZ per la maggior parte dei carichi di lavoro di produzione, grazie al modello di elevata disponibilità e durabilità che offre.
### Correzione
Puoi configurare un file system Amazon FSx for Windows File Server per utilizzare il tipo di distribuzione Multi-AZ quando crei il file system. Non puoi modificare il tipo di distribuzione di un file system esistente FSx per Windows File Server.
Per informazioni sui tipi e sulle opzioni di distribuzione FSx per i file system Windows File Server, consulta [Disponibilità e durabilità: file system Single-AZ e Multi-AZ](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/high-availability-multiAZ.html) e [Guida introduttiva ad Amazon FSx for Windows File Server](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/getting-started.html) nella Guida per *l'utente di Amazon FSx for Windows File Server*.
# Controlli CSPM di Security Hub per Global Accelerator
Questi AWS Security Hub CSPM controlli valutano il AWS Global Accelerator servizio e le risorse.
Questi controlli potrebbero non essere disponibili tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati
**Categoria: Identificazione > Inventario** > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::GlobalAccelerator::Accelerator`
**AWS Config regola:** `tagged-globalaccelerator-accelerator` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | No default value |
Questo controllo verifica se un AWS Global Accelerator acceleratore dispone di tag con i tasti specifici definiti nel parametro. `requiredTagKeys` Il controllo fallisce se l'acceleratore non ha alcuna chiave tag o se non ha tutte le chiavi specificate nel parametro. `requiredTagKeys` Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'acceleratore non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
*Per aggiungere tag a un acceleratore globale Global Accelerator, consulta la sezione [Tagging in nella AWS Global Accelerator](https://docs.aws.amazon.com/global-accelerator/latest/dg/tagging-in-global-accelerator.html) Developer Guide.AWS Global Accelerator *
# Controlli CSPM Security Hub per AWS Glue
Questi AWS Security Hub CSPM controlli valutano il AWS Glue servizio e le risorse. I controlli potrebbero non essere disponibili in tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [Glue.1] i AWS Glue lavori devono essere etichettati
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::Glue::Job`
**AWS Config regola:** `tagged-glue-job` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un AWS Glue job ha tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se il lavoro non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il lavoro non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
Per aggiungere tag a un AWS Glue lavoro, consulta i [AWS tag AWS Glue nella Guida](https://docs.aws.amazon.com/glue/latest/dg/monitor-tags.html) per l'*AWS Glue utente*.
## [Glue.3] le trasformazioni di apprendimento AWS Glue automatico devono essere crittografate a riposo
**Categoria:** Proteggi > Protezione dei dati > Crittografia di data-at-rest
**Gravità:** media
**Tipo di risorsa:** `AWS::Glue::MLTransform`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/glue-ml-transform-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/glue-ml-transform-encrypted-at-rest.html)
**Tipo di pianificazione:** modifica attivata
**Parametri: No**
Questo controllo verifica se una trasformazione di AWS Glue machine learning è crittografata quando è inattiva. Il controllo fallisce se la trasformazione dell'apprendimento automatico non è crittografata a riposo.
I dati inattivi si riferiscono ai dati archiviati in uno storage persistente e non volatile per qualsiasi durata. La crittografia dei dati inutilizzati consente di proteggerne la riservatezza, riducendo il rischio che un utente non autorizzato possa accedervi.
### Correzione
*Per configurare la crittografia per le trasformazioni dell'apprendimento AWS Glue automatico, consulta [Lavorare con le trasformazioni dell'apprendimento automatico](https://docs.aws.amazon.com/glue/latest/dg/console-machine-learning-transforms.html) nella Guida per l'utente.AWS Glue *
## [Glue.4] I job AWS Glue Spark dovrebbero essere eseguiti su versioni supportate di AWS Glue
**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), nIST.800-53.r5 CM-2, NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2 (2), NIST.800-53.r5 SI-2 (4), NIST.800-53.r5 SI-2 (5)
**Categoria**: Identificazione > Gestione di vulnerabilità, patch e versioni
**Gravità:** media
**Tipo di risorsa:** `AWS::Glue::Job`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/glue-spark-job-supported-version.html](https://docs.aws.amazon.com/config/latest/developerguide/glue-spark-job-supported-version.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**`minimumSupportedGlueVersion`: `3.0` (non personalizzabile)
Questo controllo verifica se un job AWS Glue for Spark è configurato per l'esecuzione su una versione supportata di AWS Glue. Il controllo fallisce se il job Spark è configurato per l'esecuzione su una versione precedente alla versione minima supportata. AWS Glue
**Nota**
Questo controllo genera anche una `FAILED` ricerca per un job AWS Glue for Spark se la proprietà AWS Glue version (`GlueVersion`) non esiste o è nulla nell'elemento di configurazione (CI) per il lavoro. In questi casi, la scoperta include la seguente annotazione:. `GlueVersion is null or missing in glueetl job configuration` Per risolvere questo tipo di `FAILED` ricerca, aggiungi la `GlueVersion` proprietà alla configurazione del lavoro. Per un elenco delle versioni e degli ambienti di runtime supportati, consulta [AWS Glue Versioni](https://docs.aws.amazon.com/glue/latest/dg/release-notes.html#release-notes-versions) nella *Guida AWS Glue per l'utente*.
L'esecuzione dei job AWS Glue Spark sulle versioni correnti di AWS Glue può ottimizzare le prestazioni, la sicurezza e l'accesso alle funzionalità più recenti di AWS Glue. Può anche aiutare a proteggere dalle vulnerabilità di sicurezza. Ad esempio, potrebbe essere rilasciata una nuova versione per fornire aggiornamenti di sicurezza, risolvere problemi o introdurre nuove funzionalità.
### Correzione
*Per informazioni sulla migrazione di un job Spark a una versione supportata di AWS Glue, consulta [Migrating AWS Glue for Spark jobs nella Guida per](https://docs.aws.amazon.com/glue/latest/dg/migrating-version-40.html) l'utente.AWS Glue *
# Controlli CSPM Security Hub per Amazon GuardDuty
Questi AWS Security Hub CSPM controlli valutano il GuardDuty servizio e le risorse Amazon. I controlli potrebbero non essere disponibili in tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [GuardDuty.1] GuardDuty dovrebbe essere abilitato
**Requisiti correlati:** NIST.800-53.r5 AC-2 (12), (4), NIST.800-53.r5 SA-1 1 (1), 1 (6) NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 CA-7, 5 NIST.800-53.r5 CM-8(3), NIST.800-53.r5 RA-3 (2), 5 (8), (19), (21), (25), ( NIST.800-53.r5 SA-11), (3), NIST.800-53.r5 SA-1 NIST.800-53.r5 SI-20, NIST.800-53.r5 SA-1 NIST.800-53.r5 SI-3 (8), NIST.800-53.r5 SI-4, NIST.800-53.r5 SA-8 NIST.800-53.r5 SI-4, NIST.800-53.r5 SA-8 NIST.800-53.r5 nist.800-53.r5 SI-4 NIST.800-53.r5 SC-5 (13) NIST.800-53.r5 SC-5, NIS.800-53.r5 SI-4 NIST.800-53.r5 SC-5 (2), NIS.800-53.r5 SI-4 (22), NIS.800-53.r5 SI-4 (25), NIS.800-53.r5 SI-4 (4), NIS.800-53.r5 SI-4 (5), nist.800-53.r5 SI-4 (5), nist.800-53.r5 SI-4 (5), nist.800-53.r5 SI-4 (5), nist.800-53.r5 SI-4 (5), nist.800-53.r5 SI-4 (5), nist.800-53.r5 SI-4 (5), nist.800-53.r5 SI-4 (5), nist.800-53.r5 SI800-171.r2 3.4.2, NIST.800-171.r2 3.14.6, NIST.800-171.r2 3.14.7, PCI DSS versione 3.2.1/11.4 NIST.800-53.r5 SA-8 , PCI DSS versione 4.0.1/11.5.1
**Categoria:** Rilevamento > Servizi di rilevamento
**Gravità:** alta
**Tipo di risorsa:** `AWS::::Account`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-enabled-centralized.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-enabled-centralized.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se Amazon GuardDuty è abilitato nel tuo GuardDuty account e nella tua regione.
Si consiglia vivamente di abilitarlo GuardDuty in tutte le AWS regioni supportate. In questo modo è possibile GuardDuty generare informazioni su attività non autorizzate o insolite, anche nelle regioni che non vengono utilizzate attivamente. Ciò consente anche GuardDuty di monitorare CloudTrail eventi globali Servizi AWS come IAM.
### Correzione
Per abilitarlo GuardDuty, consulta la sezione Guida [introduttiva GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html) nella *Amazon GuardDuty User Guide*.
## [GuardDuty.2] GuardDuty i filtri devono essere etichettati
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::GuardDuty::Filter`
**AWS Config regola:** `tagged-guardduty-filter` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | No default value |
Questo controllo verifica se un GuardDuty filtro Amazon ha tag con le chiavi specifiche definite nel parametro`requiredTagKeys`. Il controllo fallisce se il filtro non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il filtro non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
Per aggiungere tag a un GuardDuty filtro, [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html)consulta *Amazon GuardDuty API Reference*.
## [GuardDuty.3] GuardDuty IPSets deve essere taggato
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::GuardDuty::IPSet`
**AWS Config regola:** `tagged-guardduty-ipset` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | No default value |
Questo controllo verifica se un Amazon GuardDuty IPSet dispone di tag con le chiavi specifiche definite nel parametro`requiredTagKeys`. Il controllo fallisce se IPSet non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se IPSet non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
Per aggiungere tag a GuardDuty IPSet, [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html)consulta *Amazon GuardDuty API Reference*.
## [GuardDuty.4] i GuardDuty rilevatori devono essere etichettati
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::GuardDuty::Detector`
**AWS Config regola:** `tagged-guardduty-detector` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | No default value |
Questo controllo verifica se un GuardDuty rilevatore Amazon dispone di tag con le chiavi specifiche definite nel parametro`requiredTagKeys`. Il controllo fallisce se il rilevatore non dispone di chiavi tag o se non ha tutte le chiavi specificate nel parametro. `requiredTagKeys` Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave tag e fallisce se il rilevatore non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
Per aggiungere tag a un GuardDuty rilevatore, consulta [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html)*Amazon GuardDuty API Reference.*
## [GuardDuty.5] GuardDuty EKS Audit Log Monitoring deve essere abilitato
**Categoria:** Rilevamento > Servizi di rilevamento
**Gravità:** alta
**Tipo di risorsa:** `AWS::GuardDuty::Detector`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-eks-protection-audit-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-eks-protection-audit-enabled.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se GuardDuty EKS Audit Log Monitoring è abilitato. Per un account autonomo, il controllo fallisce se GuardDuty EKS Audit Log Monitoring è disabilitato nell'account. In un ambiente con più account, il controllo fallisce se l'account GuardDuty amministratore delegato e tutti gli account membri non hanno EKS Audit Log Monitoring abilitato.
In un ambiente con più account, il controllo genera risultati solo nell'account amministratore delegato GuardDuty . Solo l'amministratore delegato può abilitare o disabilitare la funzione EKS Audit Log Monitoring per gli account dei membri dell'organizzazione. GuardDuty gli account membri non possono modificare questa configurazione dai propri account. Questo controllo genera `FAILED` risultati se l' GuardDuty amministratore delegato ha un account membro sospeso che non ha abilitato GuardDuty EKS Audit Log Monitoring. Per ricevere un `PASSED` risultato, l'amministratore delegato deve dissociare questi account sospesi. GuardDuty
GuardDuty EKS Audit Log Monitoring ti aiuta a rilevare attività potenzialmente sospette nei cluster Amazon Elastic Kubernetes Service (Amazon EKS). Il monitoraggio dei log di audit EKS utilizza i log di audit di Kubernetes per acquisire le attività cronologiche degli utenti, delle applicazioni che utilizzano l'API Kubernetes e il piano di controllo (control-plane).
### Correzione
Per abilitare GuardDuty EKS Audit Log Monitoring, consulta [EKS Audit Log Monitoring](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty-eks-audit-log-monitoring.html) nella *Amazon GuardDuty User Guide*.
## [GuardDuty.6] La protezione GuardDuty Lambda deve essere abilitata
**Requisiti correlati:** PCI DSS v4.0.1/11.5.1
**Categoria:** Rilevamento > Servizi di rilevamento
**Gravità:** alta
**Tipo di risorsa:** `AWS::GuardDuty::Detector`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-lambda-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-lambda-protection-enabled.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se la protezione GuardDuty Lambda è abilitata. Per un account autonomo, il controllo fallisce se GuardDuty Lambda Protection è disabilitata nell'account. In un ambiente con più account, il controllo fallisce se l'account GuardDuty amministratore delegato e tutti gli account membro non hanno la protezione Lambda abilitata.
In un ambiente con più account, il controllo genera risultati solo nell'account amministratore delegato. GuardDuty Solo l'amministratore delegato può abilitare o disabilitare la funzionalità Lambda Protection per gli account dei membri dell'organizzazione. GuardDuty gli account membro non possono modificare questa configurazione dai propri account. Questo controllo genera `FAILED` risultati se l' GuardDuty amministratore delegato ha un account membro sospeso che non ha la protezione GuardDuty Lambda abilitata. Per ricevere un `PASSED` risultato, l'amministratore delegato deve dissociare questi account sospesi. GuardDuty
GuardDuty Lambda Protection ti aiuta a identificare potenziali minacce alla sicurezza quando viene richiamata una AWS Lambda funzione. Dopo aver abilitato Lambda Protection, GuardDuty inizia a monitorare i registri delle attività di rete Lambda associati alle funzioni Lambda del tuo. Account AWS Quando viene richiamata una funzione Lambda e GuardDuty identifica traffico di rete sospetto che indica la presenza di un codice potenzialmente dannoso nella funzione Lambda, genera un risultato. GuardDuty
### Correzione
*Per abilitare GuardDuty Lambda Protection, consulta [Configuring Lambda Protection](https://docs.aws.amazon.com/guardduty/latest/ug/configuring-lambda-protection.html) nella Amazon User Guide. GuardDuty *
## [GuardDuty.7] GuardDuty EKS Runtime Monitoring deve essere abilitato
**Requisiti correlati:** PCI DSS v4.0.1/11.5.1
**Categoria**: Rileva > Servizi di rilevamento
**Gravità:** alta
**Tipo di risorsa:** `AWS::GuardDuty::Detector`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-eks-protection-runtime-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-eks-protection-runtime-enabled.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se GuardDuty EKS Runtime Monitoring con gestione automatizzata degli agenti è abilitato. Per un account autonomo, il controllo fallisce se GuardDuty EKS Runtime Monitoring con gestione automatizzata degli agenti è disabilitato nell'account. In un ambiente con più account, il controllo fallisce se l'account GuardDuty amministratore delegato e tutti gli account membri non dispongono di EKS Runtime Monitoring con la gestione automatizzata degli agenti abilitata.
In un ambiente con più account, il controllo genera risultati solo nell'account amministratore delegato GuardDuty . Solo l'amministratore delegato può abilitare o disabilitare la funzionalità EKS Runtime Monitoring con gestione automatizzata degli agenti per gli account dei membri dell'organizzazione. GuardDuty gli account membri non possono modificare questa configurazione dai propri account. Questo controllo genera `FAILED` risultati se l' GuardDuty amministratore delegato ha un account membro sospeso che non ha GuardDuty EKS Runtime Monitoring abilitato. Per ricevere un `PASSED` risultato, l'amministratore delegato deve dissociare questi account sospesi in. GuardDuty
EKS Protection in Amazon GuardDuty fornisce una copertura per il rilevamento delle minacce per aiutarti a proteggere i cluster Amazon EKS all'interno del tuo AWS ambiente. EKS Runtime Monitoring utilizza eventi a livello di sistema operativo per aiutarti a rilevare potenziali minacce nei nodi e nei contenitori EKS all'interno dei cluster EKS.
### Correzione
Per abilitare EKS Runtime Monitoring con la gestione automatizzata degli agenti, consulta [ GuardDuty Enabling Runtime Monitoring](https://docs.aws.amazon.com/guardduty/latest/ug/runtime-monitoring-configuration.html) nella *Amazon GuardDuty User Guide*.
## [GuardDuty.8] La protezione GuardDuty da malware per EC2 deve essere abilitata
**Categoria:** Rilevamento > Servizi di rilevamento
**Gravità:** alta
**Tipo di risorsa:** `AWS::GuardDuty::Detector`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-malware-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-malware-protection-enabled.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se la protezione GuardDuty da malware è abilitata. Per un account autonomo, il controllo fallisce se la protezione GuardDuty da malware è disattivata nell'account. In un ambiente con più account, il controllo fallisce se l'account GuardDuty amministratore delegato e tutti gli account membri non hanno la protezione antimalware abilitata.
In un ambiente con più account, il controllo genera risultati solo nell'account amministratore delegato GuardDuty . Solo l'amministratore delegato può abilitare o disabilitare la funzionalità di protezione da malware per gli account dei membri dell'organizzazione. GuardDuty gli account membri non possono modificare questa configurazione dai propri account. Questo controllo genera `FAILED` risultati se l' GuardDuty amministratore delegato ha un account membro sospeso che non ha la protezione GuardDuty antimalware abilitata. Per ricevere un `PASSED` risultato, l'amministratore delegato deve dissociare questi account sospesi. GuardDuty
GuardDuty Malware Protection for EC2 ti aiuta a rilevare la potenziale presenza di malware scansionando i volumi Amazon Elastic Block Store (Amazon EBS) collegati alle istanze Amazon Elastic Compute Cloud (Amazon EC2) e ai carichi di lavoro dei container. Malware Protection offre opzioni di scansione in cui puoi decidere se includere o escludere istanze EC2 e carichi di lavoro dei container specifici al momento della scansione. Fornisce inoltre la possibilità di conservare le istantanee dei volumi EBS collegati alle istanze EC2 o ai carichi di lavoro dei container nei tuoi account. GuardDuty Gli snapshot vengono conservati solo in caso di rilevamento di malware e di generazione di esiti della protezione da malware.
### Correzione
*Per abilitare GuardDuty Malware Protection for EC2, consulta [Configuring GuardDuty -initiated malware scan nella](https://docs.aws.amazon.com/guardduty/latest/ug/gdu-initiated-malware-scan-configuration.html) Amazon User Guide. GuardDuty *
## [GuardDuty.9] GuardDuty La protezione RDS deve essere abilitata
**Requisiti correlati:** PCI DSS v4.0.1/11.5.1
**Categoria:** Rilevamento > Servizi di rilevamento
**Gravità:** alta
**Tipo di risorsa:** `AWS::GuardDuty::Detector`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-rds-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-rds-protection-enabled.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se la protezione GuardDuty RDS è abilitata. Per un account autonomo, il controllo fallisce se la protezione GuardDuty RDS è disattivata nell'account. In un ambiente con più account, il controllo ha esito negativo se l'account GuardDuty amministratore delegato e tutti gli account membro non hanno la protezione RDS abilitata.
In un ambiente con più account, il controllo genera risultati solo nell'account amministratore delegato. GuardDuty Solo l'amministratore delegato può abilitare o disabilitare la funzionalità di protezione RDS per gli account dei membri dell'organizzazione. GuardDuty gli account membro non possono modificare questa configurazione dai propri account. Questo controllo genera `FAILED` risultati se l' GuardDuty amministratore delegato ha un account membro sospeso che non ha la protezione GuardDuty RDS abilitata. Per ricevere un `PASSED` risultato, l'amministratore delegato deve dissociare questi account sospesi in. GuardDuty
RDS Protection in GuardDuty analisi e profila l'attività di accesso RDS per potenziali minacce di accesso ai database Amazon Aurora (Aurora MySQL Compatible Edition e Aurora PostgreSQL Compatible Edition). La funzionalità consente di identificare comportamenti di accesso potenzialmente sospetti. La Protezione RDS non richiede un'infrastruttura aggiuntiva ed è progettata in modo da non influire negativamente sulle prestazioni delle istanze di database. Quando RDS Protection rileva un tentativo di accesso potenzialmente sospetto o anomalo che indica una minaccia per il database, genera una nuova scoperta con dettagli sul database potenzialmente compromesso. GuardDuty
### Correzione
Per abilitare GuardDuty RDS Protection, consulta [GuardDuty RDS Protection](https://docs.aws.amazon.com/guardduty/latest/ug/rds-protection.html) nella *Amazon GuardDuty User Guide*.
## [GuardDuty.10] La protezione GuardDuty S3 deve essere abilitata
**Requisiti correlati:** PCI DSS v4.0.1/11.5.1
**Categoria:** Rilevamento > Servizi di rilevamento
**Gravità:** alta
**Tipo di risorsa:** `AWS::GuardDuty::Detector`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-s3-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-s3-protection-enabled.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se GuardDuty S3 Protection è abilitato. Per un account autonomo, il controllo fallisce se GuardDuty S3 Protection è disabilitato nell'account. In un ambiente con più account, il controllo fallisce se l'account GuardDuty amministratore delegato e tutti gli account membro non hanno S3 Protection abilitato.
In un ambiente con più account, il controllo genera risultati solo nell'account amministratore delegato. GuardDuty Solo l'amministratore delegato può abilitare o disabilitare la funzionalità di protezione S3 per gli account membro dell'organizzazione. GuardDuty gli account membro non possono modificare questa configurazione dai propri account. Questo controllo genera `FAILED` risultati se l' GuardDuty amministratore delegato ha un account membro sospeso che non ha la protezione GuardDuty S3 abilitata. Per ricevere un `PASSED` risultato, l'amministratore delegato deve dissociare questi account sospesi in. GuardDuty
S3 Protection consente di monitorare le operazioni API GuardDuty a livello di oggetto per identificare potenziali rischi per la sicurezza dei dati all'interno dei bucket Amazon Simple Storage Service (Amazon S3). GuardDuty monitora le minacce contro le risorse S3 AWS CloudTrail analizzando gli eventi di gestione e gli eventi relativi ai dati S3. CloudTrail
### Correzione
Per abilitare GuardDuty S3 Protection, consulta [Amazon S3 Protection in Amazon nella GuardDuty * GuardDuty Amazon*](https://docs.aws.amazon.com/guardduty/latest/ug/s3-protection.html) User Guide.
## [GuardDuty.11] Il monitoraggio del GuardDuty runtime deve essere abilitato
**Categoria:** Rileva > Servizi di rilevamento
**Gravità:** alta
**Tipo di risorsa:** `AWS::GuardDuty::Detector`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-runtime-monitoring-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-runtime-monitoring-enabled.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se il Runtime Monitoring è abilitato in Amazon GuardDuty. Per un account autonomo, il controllo fallisce se il GuardDuty Runtime Monitoring è disabilitato per l'account. In un ambiente con più account, il controllo fallisce se il GuardDuty Runtime Monitoring è disabilitato per l'account GuardDuty amministratore delegato e per tutti gli account dei membri.
In un ambiente con più account, solo l' GuardDuty amministratore delegato può abilitare o disabilitare il monitoraggio del GuardDuty runtime per gli account della propria organizzazione. Inoltre, solo l' GuardDuty amministratore può configurare e gestire gli agenti di sicurezza GuardDuty utilizzati per il monitoraggio in fase di esecuzione dei AWS carichi di lavoro e delle risorse per gli account dell'organizzazione. GuardDuty gli account dei membri non possono abilitare, configurare o disabilitare il monitoraggio del runtime per i propri account.
GuardDuty Runtime Monitoring osserva e analizza gli eventi a livello di sistema operativo, di rete e di file per aiutarti a rilevare potenziali minacce in carichi di AWS lavoro specifici del tuo ambiente. Utilizza agenti GuardDuty di sicurezza che aggiungono visibilità al comportamento di runtime, come l'accesso ai file, l'esecuzione dei processi, gli argomenti della riga di comando e le connessioni di rete. Puoi abilitare e gestire l'agente di sicurezza per ogni tipo di risorsa che desideri monitorare per rilevare potenziali minacce, come i cluster Amazon EKS e le istanze Amazon EC2.
### Correzione
Per informazioni sulla configurazione e l'abilitazione del monitoraggio del GuardDuty runtime, consulta [GuardDuty Runtime Monitoring](https://docs.aws.amazon.com/guardduty/latest/ug/runtime-monitoring.html) e [Enabling GuardDuty Runtime Monitoring](https://docs.aws.amazon.com/guardduty/latest/ug/runtime-monitoring-configuration.html) nella *Amazon GuardDuty User Guide*.
## [GuardDuty.12] Il monitoraggio del runtime GuardDuty ECS deve essere abilitato
**Categoria:** Rileva > Servizi di rilevamento
**Gravità:** media
**Tipo di risorsa:** `AWS::GuardDuty::Detector`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-ecs-protection-runtime-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-ecs-protection-runtime-enabled.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se l'agente di sicurezza GuardDuty automatizzato di Amazon è abilitato per il monitoraggio in fase di esecuzione dei cluster Amazon ECS su. AWS Fargate Per un account autonomo, il controllo fallisce se il security agent è disabilitato per l'account. In un ambiente con più account, il controllo fallisce se il Security Agent è disabilitato per l'account GuardDuty amministratore delegato e per tutti gli account dei membri.
In un ambiente con più account, questo controllo genera risultati solo nell'account amministratore delegato GuardDuty . Questo perché solo l' GuardDuty amministratore delegato può abilitare o disabilitare il monitoraggio del runtime delle risorse ECS-Fargate per gli account della propria organizzazione. GuardDuty gli account dei membri non possono eseguire questa operazione per i propri account. Inoltre, questo controllo genera `FAILED` risultati se GuardDuty è sospeso per un account membro e il monitoraggio del runtime delle risorse ECS-Fargate è disabilitato per l'account membro. Per ricevere un `PASSED` risultato, l' GuardDuty amministratore deve dissociare l'account membro sospeso dal proprio account amministratore utilizzando. GuardDuty
GuardDuty Runtime Monitoring osserva e analizza gli eventi a livello di sistema operativo, di rete e di file per aiutarti a rilevare potenziali minacce in carichi di lavoro specifici AWS del tuo ambiente. Utilizza agenti GuardDuty di sicurezza che aggiungono visibilità al comportamento di runtime, come l'accesso ai file, l'esecuzione dei processi, gli argomenti della riga di comando e le connessioni di rete. È possibile abilitare e gestire il security agent per ogni tipo di risorsa che si desidera monitorare per rilevare potenziali minacce. Ciò include i cluster Amazon ECS attivi. AWS Fargate
### Correzione
Per abilitare e gestire l'agente di sicurezza per il monitoraggio del GuardDuty runtime delle risorse ECS-Fargate, è necessario utilizzare direttamente. GuardDuty Non è possibile abilitarlo o gestirlo manualmente per le risorse ECS-Fargate. Per informazioni sull'attivazione e la gestione del security agent, consulta [Prerequisiti per il supporto AWS Fargate (solo Amazon ECS)](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ecs-support.html) e [Gestione dell'agente di sicurezza automatizzato per (solo AWS Fargate Amazon ECS)](https://docs.aws.amazon.com/guardduty/latest/ug/managing-gdu-agent-ecs-automated.html) nella *Amazon GuardDuty * User Guide.
## [GuardDuty.13] Il monitoraggio del runtime GuardDuty EC2 deve essere abilitato
**Categoria:** Rileva > Servizi di rilevamento
**Gravità:** media
**Tipo di risorsa:** `AWS::GuardDuty::Detector`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-ec2-protection-runtime-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-ec2-protection-runtime-enabled.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se l'agente di sicurezza GuardDuty automatizzato di Amazon è abilitato per il monitoraggio del runtime delle istanze Amazon EC2. Per un account autonomo, il controllo fallisce se il security agent è disabilitato per l'account. In un ambiente con più account, il controllo fallisce se il Security Agent è disabilitato per l'account GuardDuty amministratore delegato e per tutti gli account dei membri.
In un ambiente con più account, questo controllo genera risultati solo nell'account amministratore delegato GuardDuty . Questo perché solo l' GuardDuty amministratore delegato può abilitare o disabilitare il monitoraggio del runtime delle istanze Amazon EC2 per gli account della propria organizzazione. GuardDuty gli account membri non possono eseguire questa operazione per i propri account. Inoltre, questo controllo genera `FAILED` risultati se GuardDuty è sospeso per un account membro e il monitoraggio del runtime delle istanze EC2 è disabilitato per l'account membro. Per ricevere un `PASSED` risultato, l' GuardDuty amministratore deve dissociare l'account membro sospeso dal proprio account amministratore utilizzando. GuardDuty
GuardDuty Runtime Monitoring osserva e analizza gli eventi a livello di sistema operativo, di rete e di file per aiutarti a rilevare potenziali minacce in carichi di lavoro specifici AWS del tuo ambiente. Utilizza agenti GuardDuty di sicurezza che aggiungono visibilità al comportamento di runtime, come l'accesso ai file, l'esecuzione dei processi, gli argomenti della riga di comando e le connessioni di rete. È possibile abilitare e gestire il security agent per ogni tipo di risorsa che si desidera monitorare per rilevare potenziali minacce. Sono incluse le istanze Amazon EC2.
### Correzione
*Per informazioni sulla configurazione e la gestione dell'agente di sicurezza automatizzato per il monitoraggio del GuardDuty runtime delle istanze EC2, consulta [Prerequisiti per il supporto delle istanze Amazon EC2 e Abilitazione dell'agente di sicurezza automatizzato per le istanze](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html) [Amazon EC2 nella Amazon User](https://docs.aws.amazon.com/guardduty/latest/ug/managing-gdu-agent-ec2-automated.html) Guide. GuardDuty *
# Controlli CSPM Security Hub per AWS Identity and Access Management
Questi AWS Security Hub CSPM controlli valutano il servizio e le risorse AWS Identity and Access Management (IAM). I controlli potrebbero non essere disponibili in tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [IAM.1] Le politiche IAM non dovrebbero consentire privilegi amministrativi «\$1» completi
**Requisiti correlati:** CIS AWS Foundations Benchmark v1.2.0/1.22, CIS AWS Foundations Benchmark v1.4.0/1.16,, NIST.800-53.r5 AC-2 (1), (15), (7),, (10) NIST.800-53.r5 AC-2, (2), NIST.800-53.r5 AC-3 (3) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 NIST.800-171.r2 3.1.4, PCI DSS NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6 v3.2.1/2.1 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6
**Categoria:** Protezione > Gestione degli accessi sicuri
**Gravità:** alta
**Tipo di risorsa:** `AWS::IAM::Policy`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-no-statements-with-admin-access.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-no-statements-with-admin-access.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
+ `excludePermissionBoundaryPolicy: true`(non personalizzabile)
Questo controllo verifica se la versione predefinita delle politiche IAM (note anche come politiche gestite dai clienti) dispone dell'accesso come amministratore includendo un'istruzione `"Effect": "Allow"` con `"Action": "*"` over`"Resource": "*"`. Il controllo fallisce se si dispone di politiche IAM con una dichiarazione di questo tipo.
Il controllo verifica solo le policy gestite dal cliente create dall'utente. Non verifica le politiche in linea e AWS gestite.
Le politiche IAM definiscono una serie di privilegi concessi a utenti, gruppi o ruoli. Seguendo i consigli di sicurezza standard, si AWS consiglia di concedere il privilegio minimo, il che significa concedere solo le autorizzazioni necessarie per eseguire un'attività. Quando si forniscono privilegi amministrativi completi anziché il set di autorizzazioni minimo di cui l'utente ha bisogno, si espongono le risorse a operazioni potenzialmente indesiderate.
Anziché consentire privilegi di amministratore completi, determina ciò che gli utenti devono fare e crea le policy su misura che permettono agli utenti di eseguire solo tali attività. È più sicuro iniziare con un set di autorizzazioni minimo e concedere autorizzazioni aggiuntive quando necessario. Non iniziare con autorizzazioni troppo permissive e cercare di limitarle in un secondo momento.
È necessario rimuovere le policy IAM che hanno una dichiarazione `"Effect": "Allow" ` con `"Action": "*"` over. `"Resource": "*"`
**Nota**
AWS Config deve essere abilitato in tutte le regioni in cui si utilizza Security Hub CSPM. Tuttavia, la registrazione globale delle risorse può essere abilitata in una singola regione. Se si registrano solo risorse globali in una singola area, è possibile disabilitare questo controllo in tutte le aree, ad eccezione dell'area in cui si registrano le risorse globali.
### Correzione
Per modificare le policy IAM in modo che non consentano i privilegi amministrativi «\$1» completi, consulta [Modifica delle policy IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html) nella *IAM User Guide*.
## [IAM.2] Gli utenti IAM non devono avere policy IAM allegate
**Requisiti correlati:** CIS AWS Foundations Benchmark v5.0.0/1.14, CIS Foundations Benchmark v3.0.0/1.15, CIS AWS Foundations Benchmark v1.2.0/1.16, NIST.800-53.r5 AC-2 (1), (15), (7), (3), NIST.800-171.r2 3.1.1, NIST.800-171.r2 3.1.2 NIST.800-53.r5 AC-2, NIST.800-171.r2 3.1.7 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 NIST.800-171.r2 3.1.7, NIST.800-53.r5 AC-3 NIST.800-171.r2 3.1.7 -171.r2 3.3.9, NIST.800-171.r2 3.13.3, PCI DSS versione 3.2.1/7.2.1 AWS NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6
**Categoria:** Protezione > Gestione degli accessi sicuri
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::IAM::User`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-user-no-policies-check.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-no-policies-check.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se gli utenti IAM hanno delle policy allegate. Il controllo fallisce se gli utenti IAM hanno delle policy allegate. Gli utenti IAM devono invece ereditare le autorizzazioni dai gruppi IAM o assumere un ruolo.
Per impostazione predefinita, gli utenti, i gruppi e i ruoli IAM non hanno accesso alle AWS risorse. Le policy IAM concedono privilegi a utenti, gruppi o ruoli. Ti consigliamo di applicare le policy IAM direttamente ai gruppi e ai ruoli ma non agli utenti. L'assegnazione di privilegi a livello di gruppo o ruolo riduce la complessità di gestione degli accessi, se il numero di utenti cresce. La riduzione della complessità di gestione degli accessi potrebbe a sua volta ridurre l'opportunità per un principale di ricevere o mantenere inavvertitamente privilegi eccessivi.
**Nota**
AWS Config deve essere abilitato in tutte le regioni in cui si utilizza Security Hub CSPM. Tuttavia, la registrazione globale delle risorse può essere abilitata in una singola regione. Se si registrano solo risorse globali in una singola regione, è possibile disabilitare questo controllo in tutte le regioni tranne la regione in cui si registrano le risorse globali.
### Correzione
Per risolvere questo problema, [crea un gruppo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_create.html) e allega la policy al gruppo. Quindi, [aggiungi gli utenti al gruppo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_manage_add-remove-users.html). La policy viene applicata a ogni utente nel gruppo. Per rimuovere una policy collegata direttamente a un utente, consulta [Aggiungere e rimuovere le autorizzazioni di identità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) nella *Guida per l'utente IAM*.
## [IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno
**Requisiti correlati:** benchmark CIS AWS Foundations v5.0.0/1.13, benchmark CIS AWS Foundations v3.0.0/1.14, benchmark CIS Foundations v1.4.0/1.14, benchmark CIS AWS Foundations v1.2.0/1.4, NIST.800-53.r5 AC-2 (1), (3), (15), PCI DSS v4.0.1/8.3.9, PCI DSS v4.0.1/8.6.3 AWS NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3
**Categoria:** Protezione > Gestione degli accessi sicuri
**Gravità:** media
**Tipo di risorsa:** `AWS::IAM::User`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/access-keys-rotated.html](https://docs.aws.amazon.com/config/latest/developerguide/access-keys-rotated.html)
**Tipo di pianificazione:** periodica
**Parametri:**
+ `maxAccessKeyAge`: `90` (non personalizzabile)
Questo controllo verifica se le chiavi di accesso attive vengono ruotate entro 90 giorni.
Ti consigliamo vivamente di non generare e rimuovere tutte le chiavi di accesso nell'account. Invece, la best practice consigliata consiste nel creare uno o più ruoli IAM o utilizzare la [federazione](https://aws.amazon.com/identity/federation/) tramite AWS IAM Identity Center. Puoi utilizzare questi metodi per consentire agli utenti di accedere a Console di gestione AWS e AWS CLI.
Ogni approccio ha i suoi casi d'uso. La federazione è generalmente la soluzione migliore per le aziende che dispongono di una directory centrale esistente o che prevedono di aver bisogno di più del limite attuale per gli utenti IAM. Le applicazioni eseguite all'esterno di un AWS ambiente necessitano di chiavi di accesso per l'accesso programmatico alle AWS risorse.
Tuttavia, se le risorse che richiedono l'accesso programmatico vengono eseguite all'interno AWS, la migliore pratica consiste nell'utilizzare i ruoli IAM. I ruoli consentono di concedere l'accesso a una risorsa senza codificare l'ID chiave di accesso e la chiave di accesso segreta nella configurazione.
Per ulteriori informazioni sulla protezione delle chiavi di accesso e dell'account, consulta [le migliori pratiche per la gestione delle chiavi di AWS accesso](https://docs.aws.amazon.com/general/latest/gr/aws-access-keys-best-practices.html) nel *Riferimenti generali di AWS*. Consulta anche il post del blog [Linee guida per proteggere l'utente Account AWS durante l'utilizzo dell'accesso programmatico](https://aws.amazon.com/blogs/security/guidelines-for-protecting-your-aws-account-while-using-programmatic-access/).
Se disponi già di una chiave di accesso, Security Hub CSPM consiglia di ruotare le chiavi di accesso ogni 90 giorni. La rotazione delle chiavi di accesso riduce la possibilità di utilizzo di una chiave di accesso associata a un account compromesso o chiuso. Garantisce inoltre che i dati non possano essere accessibili con una vecchia chiave che potrebbe essere stata persa, decifrata o rubata. Aggiorna sempre le applicazioni dopo aver ruotato le chiavi di accesso.
Le chiavi di accesso sono composte da un ID chiave di accesso e una chiave di accesso segreta. Vengono utilizzate per firmare le richieste programmatiche inviate dall'utente. AWS Gli utenti necessitano delle proprie chiavi di accesso per effettuare chiamate programmatiche AWS da AWS CLI, Tools for Windows PowerShell AWS SDKs, the o chiamate HTTP dirette utilizzando le operazioni API per singoli utenti. Servizi AWS
Se la tua organizzazione utilizza AWS IAM Identity Center (IAM Identity Center), i tuoi utenti possono accedere ad Active Directory, a una directory IAM Identity Center integrata o a [un altro provider di identità (IdP) connesso a IAM Identity](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html) Center. Possono quindi essere mappati su un ruolo IAM che consente loro di eseguire AWS CLI comandi o richiamare operazioni AWS API senza la necessità di chiavi di accesso. Per ulteriori informazioni, consulta [Configurazione dell'uso AWS IAM Identity Center nella Guida AWS CLI per](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-sso.html) l'*AWS Command Line Interface utente*.
**Nota**
AWS Config deve essere abilitato in tutte le regioni in cui si utilizza Security Hub CSPM. Tuttavia, la registrazione globale delle risorse può essere abilitata in una singola regione. Se si registrano solo risorse globali in una singola area, è possibile disabilitare questo controllo in tutte le aree, ad eccezione dell'area in cui si registrano le risorse globali.
### Correzione
Per ruotare le chiavi di accesso più vecchie di 90 giorni, consulta [Rotating access keys](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey) nella *IAM User* Guide. Segui le istruzioni per qualsiasi utente con una **chiave di accesso di età** superiore a 90 giorni.
## [IAM.4] La chiave di accesso utente root IAM non dovrebbe esistere
**Requisiti correlati:** benchmark CIS AWS Foundations v5.0.0/1.3, benchmark CIS AWS Foundations v3.0.0/1.4, benchmark CIS Foundations v1.4.0/1.4, benchmark CIS AWS Foundations v1.2.0/1.12, PCI DSS v3.2.1/2.1, PCI DSS v3.2.1/2.2, PCI DSS v3.2.1/7.2.1, (1), (7), (10), (), (2) AWS NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6
**Categoria:** Protezione > Gestione degli accessi sicuri
**Severità:** critica
**Tipo di risorsa:** `AWS::::Account`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-root-access-key-check.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-root-access-key-check.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se è presente la chiave di accesso dell'utente root.
L'utente root è l'utente con più privilegi in un Account AWS. AWS le chiavi di accesso forniscono l'accesso programmatico a un determinato account.
Security Hub CSPM consiglia di rimuovere tutte le chiavi di accesso associate all'utente root. Ciò limita i vettori che possono essere utilizzati per compromettere l'account. Incoraggia inoltre la creazione e l'utilizzo di account basati sul ruolo che dispongono di meno privilegi.
### Correzione
Per eliminare la chiave di accesso dell'utente root, consulta [Eliminazione delle chiavi di accesso per l'utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#id_root-user_manage_delete-key) nella *IAM User* Guide. Per eliminare le chiavi di accesso dell'utente root da un Account AWS ingresso AWS GovCloud (US), consulta [Eliminazione delle chiavi di accesso dell'utente root del mio AWS GovCloud (US) account nella Guida](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-account-root-user.html#delete-govcloud-root-access-key) per l'*AWS GovCloud (US) utente*.
## [IAM.5] MFA deve essere abilitata per tutti gli utenti IAM che dispongono di una password della console
**Requisiti correlati:** benchmark CIS AWS Foundations v5.0.0/1.9, benchmark CIS AWS Foundations v3.0.0/1.10, benchmark CIS AWS Foundations v1.4.0/1.10, benchmark CIS AWS Foundations v1.2.0/1.2, NIST.800-53.r5 AC-2 (1), (15), (1), NIST.800-53.r5 AC-3 (1), NIST.800-53.r5 IA-2 (2), NIST.800-53.r5 IA-2 (6), NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 (8), PCI DSS v4.0.1/8.4.2
**Categoria:** Protezione > Gestione degli accessi sicuri
**Gravità:** media
**Tipo di risorsa:** `AWS::IAM::User`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/mfa-enabled-for-iam-console-access.html](https://docs.aws.amazon.com/config/latest/developerguide/mfa-enabled-for-iam-console-access.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se l' AWS autenticazione a più fattori (MFA) è abilitata per tutti gli utenti IAM che utilizzano una password della console.
L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione al di sopra di nome utente e password. Con l'MFA abilitata, quando un utente accede a un AWS sito Web, gli vengono richiesti il nome utente e la password. Inoltre, viene richiesto loro di immettere un codice di autenticazione dal dispositivo AWS MFA.
Ti consigliamo di abilitare MFA per tutti gli account che dispongono di una password della console. MFA è progettato per fornire una maggiore sicurezza per l'accesso alla console. L'entità principal di autenticazione deve possedere un dispositivo che genera una chiave legata al fattore tempo e deve essere a conoscenza delle credenziali.
**Nota**
AWS Config deve essere abilitato in tutte le regioni in cui si utilizza Security Hub CSPM. Tuttavia, la registrazione globale delle risorse può essere abilitata in una singola regione. Se si registrano solo risorse globali in una singola area, è possibile disabilitare questo controllo in tutte le aree, ad eccezione dell'area in cui si registrano le risorse globali.
### Correzione
*Per aggiungere MFA per gli utenti IAM, consulta [Using Multi-Factor Authentication (MFA) AWS nella](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html) IAM User Guide.*
## [IAM.6] L'autenticazione MFA per l'hardware deve essere abilitata per l'utente root
**Requisiti correlati:** benchmark CIS AWS Foundations v5.0.0/1.5, benchmark CIS AWS Foundations v3.0.0/1.6, benchmark CIS AWS Foundations v1.4.0/1.6, benchmark CIS AWS Foundations v1.2.0/1.14, PCI DSS v3.2.1/8.3.1, (1), (15), (1), NIST.800-53.r5 AC-2 (1), (2), NIST.800-53.r5 AC-3 (6), NIST.800-53.r5 IA-2 (8), PCI DSS v4.0.1/8.4.2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2
**Categoria:** Protezione > Gestione degli accessi sicuri
**Severità:** critica
**Tipo di risorsa:** `AWS::::Account`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/root-account-hardware-mfa-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/root-account-hardware-mfa-enabled.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se l'utente Account AWS è abilitato a utilizzare un dispositivo hardware di autenticazione a più fattori (MFA) per accedere con le credenziali dell'utente root. Il controllo fallisce se l'autenticazione MFA hardware non è abilitata o se i dispositivi MFA virtuali sono autorizzati ad accedere con le credenziali dell'utente root.
Di conseguenza, un dispositivo MFA virtuale potrebbe non offrire lo stesso livello di sicurezza di un dispositivo hardware MFA. Ti consigliamo di utilizzare un dispositivo MFA virtuale solo in attesa dell'approvazione dell'acquisto dell'hardware o dell'arrivo dell'hardware. Per saperne di più, consulta [Assegnare un dispositivo MFA virtuale (console](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable_virtual.html)) nella Guida per *l'utente IAM*.
**Nota**
Security Hub CSPM valuta questo controllo in base alla presenza di credenziali utente root (profilo di accesso) in un. Account AWS Il controllo genera `PASSED` risultati nei seguenti casi:
Le credenziali dell'utente root sono presenti nell'account e la MFA hardware è abilitata per l'utente root.
Le credenziali dell'utente root non sono presenti nell'account.
Il controllo genera un `FAILED` risultato se le credenziali dell'utente root sono presenti nell'account e la MFA hardware non è abilitata per l'utente root.
### Correzione
Per informazioni sull'attivazione dell'autenticazione MFA hardware per l'utente root, consulta l'[autenticazione a più fattori per un](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-mfa-for-root.html) utente Utente root dell'account AWS nella *IAM* User Guide.
## [IAM.7] Le policy relative alle password per gli utenti IAM devono avere configurazioni solide
**Requisiti correlati:** NIST.800-53.r5 AC-2 (1), (3), NIST.800-53.r5 AC-2 (15), (1), NIST.800-53.r5 AC-3 NIST.800-171.r2 3.5.2, NIST.800-53.r5 IA-5 NIST.800-171.r2 3.5.7, NIST.800-171.r2 3.5.8, PCI DSS v4.0.1/8.3.6, PCI DSS v4.0.1/8.3.7, PCI DSS v4.0.1/8.3.9, PCI DSS v4.0.1/8.3.9, PCI DSS v4.0.1/8.3.9 versione 4.0.1/8.3.10.1, PCI DSS versione 4.0.1/8.6.3
**Categoria:** Protezione > Gestione degli accessi sicuri
**Gravità:** media
**Tipo di risorsa:** `AWS::::Account`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)
**Tipo di pianificazione:** periodica
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| `RequireUppercaseCharacters` | Richiede almeno un carattere maiuscolo nella password | Booleano | `true` o `false` | `true` |
| `RequireLowercaseCharacters` | Richiede almeno un carattere minuscolo nella password | Booleano | `true` o `false` | `true` |
| `RequireSymbols` | Richiede almeno un simbolo nella password | Booleano | `true` o `false` | `true` |
| `RequireNumbers` | Richiedi almeno un numero nella password | Booleano | `true` o `false` | `true` |
| `MinimumPasswordLength` | Numero minimo di caratteri nella password | Numero intero | `8` Da a `128` | `8` |
| `PasswordReusePrevention` | Numero di rotazioni della password prima che una vecchia password possa essere riutilizzata | Numero intero | `12` Da a `24` | Nessun valore predefinito |
| `MaxPasswordAge` | Numero di giorni prima della scadenza della password | Numero intero | `1` Da a `90` | Nessun valore predefinito |
Questo controllo verifica se la politica sulle password degli account per gli utenti IAM utilizza configurazioni complesse. Il controllo fallisce se la politica delle password non utilizza configurazioni complesse. A meno che non si forniscano valori di parametro personalizzati, Security Hub CSPM utilizza i valori predefiniti menzionati nella tabella precedente. I `MaxPasswordAge` parametri `PasswordReusePrevention` and non hanno un valore predefinito, quindi se si escludono questi parametri, Security Hub CSPM ignora il numero di rotazioni della password e l'età della password durante la valutazione di questo controllo.
Per accedere a, gli utenti IAM necessitano di Console di gestione AWS password. Come best practice, Security Hub CSPM consiglia vivamente di utilizzare la federazione anziché creare utenti IAM. La federazione consente agli utenti di utilizzare le credenziali aziendali esistenti per accedere a. Console di gestione AWS Utilizza AWS IAM Identity Center (IAM Identity Center) per creare o federare l'utente, quindi assumi un ruolo IAM in un account.
Per ulteriori informazioni sui provider di identità e sulla federazione, consulta [Provider di identità e federazione](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html) nella *Guida per l'utente IAM*. Per ulteriori informazioni su IAM Identity Center, consulta la [https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html).
Se è necessario utilizzare utenti IAM, Security Hub CSPM consiglia di imporre la creazione di password utente complesse. È possibile impostare una politica in materia di password Account AWS per specificare i requisiti di complessità e i periodi di rotazione obbligatori per le password. Quando si crea o si modifica una politica in materia di password, la maggior parte delle impostazioni relative alle password viene applicata alla successiva modifica delle password da parte degli utenti. Alcune impostazioni vengono applicate immediatamente.
### Correzione
Per aggiornare la politica sulle password, consulta [Impostazione di una politica di password dell'account per gli utenti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) nella *Guida per l'utente IAM*.
## [IAM.8] Le credenziali utente IAM non utilizzate devono essere rimosse
**Requisiti correlati:** CIS AWS Foundations Benchmark v1.2.0/1.3, NIST.800-53.r5 AC-2 (1), (3), (15) NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-2 NIST.800-171.r2 3.1.2 NIST.800-53.r5 AC-3, PCI NIST.800-53.r5 AC-3 DSS v3.2.1/8.1.4, PCI DSS NIST.800-53.r5 AC-6 v4.0.1/8.2.6
**Categoria:** Protezione > Gestione degli accessi sicuri
**Gravità:** media
**Tipo di risorsa:** `AWS::IAM::User`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-user-unused-credentials-check.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-unused-credentials-check.html)
**Tipo di pianificazione:** periodica
**Parametri:**
+ `maxCredentialUsageAge`: `90` (non personalizzabile)
Questo controllo verifica se gli utenti IAM dispongono di password o chiavi di accesso attive che non vengono utilizzate da 90 giorni.
Gli utenti IAM possono accedere alle AWS risorse utilizzando diversi tipi di credenziali, come password o chiavi di accesso.
Security Hub CSPM consiglia di rimuovere o disattivare tutte le credenziali che non sono state utilizzate per 90 giorni o più. La disabilitazione o la rimozione di credenziali non necessarie riduce la finestra di opportunità per le credenziali associate a un account compromesso o abbandonato da utilizzare.
**Nota**
AWS Config deve essere abilitato in tutte le regioni in cui si utilizza Security Hub CSPM. Tuttavia, la registrazione globale delle risorse può essere abilitata in una singola regione. Se si registrano solo risorse globali in una singola area, è possibile disabilitare questo controllo in tutte le aree, ad eccezione dell'area in cui si registrano le risorse globali.
### Correzione
Quando visualizzi le informazioni sull'utente nella console IAM, ci sono colonne relative **all'età della chiave di accesso**, **all'età della password** e all'**ultima attività**. Se il valore in una di queste colonne è maggiore di 90 giorni, rendi inattive le credenziali per tali utenti.
Puoi anche utilizzare i [report sulle credenziali](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html#getting-credential-reports-console) per monitorare gli utenti e identificare quelli che non svolgono alcuna attività per 90 o più giorni. Puoi scaricare i report sulle credenziali in `.csv` formato dalla console IAM.
Dopo aver identificato gli account inattivi o le credenziali non utilizzate, disattivali. *Per istruzioni, consulta [Creazione, modifica o eliminazione di una password utente IAM (console) nella Guida per l'utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_admin-change-user.html#id_credentials_passwords_admin-change-user_console).*
## [IAM.9] L'MFA deve essere abilitata per l'utente root
**Requisiti correlati:** benchmark CIS AWS Foundations v5.0.0/1.4, PCI DSS v3.2.1/8.3.1, PCI DSS v4.0.1/8.4.2, benchmark CIS Foundations v3.0.0/1.5, benchmark CIS AWS Foundations v1.4.0/1.5, benchmark CIS AWS Foundations v1.2.0/1.13, (1), (1), (2), (6), (8) AWS NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2
**Categoria:** Protezione > Gestione degli accessi sicuri
**Severità:** critica
**Tipo di risorsa:** `AWS::::Account`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/root-account-mfa-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/root-account-mfa-enabled.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se l'autenticazione a più fattori (MFA) è abilitata per l'utente root IAM di Account AWS un utente che accede a. Console di gestione AWS Il controllo fallisce se l'MFA non è abilitata per l'utente root dell'account.
L'utente root IAM di an Account AWS ha accesso completo a tutti i servizi e le risorse dell'account. Se l'MFA è abilitata, l'utente deve inserire un nome utente, una password e un codice di autenticazione dal proprio dispositivo AWS MFA per accedere a. Console di gestione AWS L'MFA aggiunge un ulteriore livello di protezione oltre a nome utente e password.
Questo controllo genera `PASSED` risultati nei seguenti casi:
+ Le credenziali dell'utente root sono presenti nell'account e l'MFA è abilitata per l'utente root.
+ Le credenziali dell'utente root non sono presenti nell'account.
Il controllo genera `FAILED` risultati se le credenziali dell'utente root sono presenti nell'account e l'MFA non è abilitata per l'utente root.
### Correzione
*Per informazioni sull'attivazione della MFA per l'utente root di un Account AWS, consulta la sezione [Autenticazione a più fattori Utente root dell'account AWS nella Guida per l'](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-mfa-for-root.html)utente.AWS Identity and Access Management *
## [IAM.10] Le policy relative alle password per gli utenti IAM devono avere configurazioni solide
**Requisiti correlati:** NIST.800-171.r2 3.5.2, NIST.800-171.r2 3.5.7, NIST.800-171.r2 3.5.8, PCI DSS versione 3.2.1/8.1.4, PCI DSS versione 3.2.1/8.2.3, PCI DSS versione 3.2.1/8.2.4, PCI DSS versione 3.2.1/8.2.5
**Categoria:** Protezione > Gestione degli accessi sicuri
**Gravità:** media
**Tipo di risorsa:** `AWS::::Account`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se la politica delle password degli account per gli utenti IAM utilizza le seguenti configurazioni PCI DSS minime.
+ `RequireUppercaseCharacters`— Richiede almeno un carattere maiuscolo nella password. L'impostazione predefinita è `true`.
+ `RequireLowercaseCharacters`— Richiede almeno un carattere minuscolo nella password. L'impostazione predefinita è `true`.
+ `RequireNumbers`— Richiedi almeno un numero nella password. L'impostazione predefinita è `true`.
+ `MinimumPasswordLength`— Lunghezza minima della password. (Impostazione predefinita = 7 o più)
+ `PasswordReusePrevention`— Numero di password prima di consentirne il riutilizzo. (Impostazione predefinita = 4)
+ `MaxPasswordAge`— Numero di giorni prima della scadenza della password. (Impostazione predefinita = 90)
**Nota**
Il 30 maggio 2025, Security Hub CSPM ha rimosso questo controllo dallo standard PCI DSS v4.0.1. PCI DSS v4.0.1 ora richiede che le password abbiano un minimo di 8 caratteri. Questo controllo continua ad applicarsi allo standard PCI DSS v3.2.1, che ha requisiti di password diversi.
[Per valutare le politiche relative alle password degli account rispetto ai requisiti PCI DSS v4.0.1, è possibile utilizzare il controllo IAM.7.](#iam-7) Questo controllo richiede che le password abbiano un minimo di 8 caratteri. Supporta anche valori personalizzati per la lunghezza della password e altri parametri. Il controllo IAM.7 fa parte dello standard PCI DSS v4.0.1 in Security Hub CSPM.
### Correzione
*Per aggiornare la politica delle password per utilizzare la configurazione consigliata, consulta [Impostazione di una politica di password dell'account per gli utenti IAM nella Guida per](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) l'utente IAM.*
## [IAM.11] Assicurati che la politica delle password IAM richieda almeno una lettera maiuscola
**Requisiti correlati:** CIS AWS Foundations Benchmark v1.2.0/1.5, NIST.800-171.r2 3.5.7, PCI DSS v4.0.1/8.3.6, PCI DSS v4.0.1/8.6.3
**Categoria:** Protezione > Gestione degli accessi sicuri
**Gravità:** media
**Tipo di risorsa:** `AWS::::Account`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Le policy sulle password applicano, in parte, requisiti di conformità delle password. Utilizza le politiche di gestione delle password di IAM per assicurarti che le password utilizzino set di caratteri diversi.
Il CIS consiglia che la politica delle password richieda almeno una lettera maiuscola. L'impostazione di una policy di complessità delle password aumenta la resilienza dell'account a fronte di tentativi di accesso di forza bruta.
### Correzione
Per modificare la politica relativa alle password, consulta [Impostazione di una politica di password dell'account per gli utenti IAM nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) per l'utente *IAM*. Per **la sicurezza della password**, seleziona **Richiedi almeno una lettera maiuscola dell'alfabeto latino (**A—Z).
## [IAM.12] Assicurati che la politica delle password IAM richieda almeno una lettera minuscola
**Requisiti correlati:** CIS AWS Foundations Benchmark v1.2.0/1.6, NIST.800-171.r2 3.5.7, PCI DSS v4.0.1/8.3.6, PCI DSS v4.0.1/8.6.3
**Categoria:** Protezione > Gestione degli accessi sicuri
**Gravità:** media
**Tipo di risorsa:** `AWS::::Account`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Le policy sulle password applicano, in parte, requisiti di conformità delle password. Utilizza le politiche di gestione delle password di IAM per assicurarti che le password utilizzino set di caratteri diversi. Il CIS consiglia che la politica delle password richieda almeno una lettera minuscola. L'impostazione di una policy di complessità delle password aumenta la resilienza dell'account a fronte di tentativi di accesso di forza bruta.
### Correzione
Per modificare la politica relativa alle password, consulta [Impostazione di una politica di password dell'account per gli utenti IAM nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) per l'utente *IAM*. Per **la sicurezza della password**, seleziona **Richiedi almeno una lettera minuscola dell'alfabeto latino (**A—Z).
## [IAM.13] Assicurati che la politica delle password IAM richieda almeno un simbolo
**Requisiti correlati:** CIS AWS Foundations Benchmark v1.2.0/1.7, NIST.800-171.r2 3.5.7
**Categoria:** Protezione > Gestione degli accessi sicuri
**Gravità:** media
**Tipo di risorsa:** `AWS::::Account`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Le policy sulle password applicano, in parte, requisiti di conformità delle password. Utilizza le politiche di gestione delle password di IAM per assicurarti che le password utilizzino set di caratteri diversi.
Il CIS raccomanda che la politica delle password richieda almeno un simbolo. L'impostazione di una policy di complessità delle password aumenta la resilienza dell'account a fronte di tentativi di accesso di forza bruta.
### Correzione
Per modificare la politica relativa alle password, consulta [Impostazione di una politica di password dell'account per gli utenti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) nella *Guida per l'utente IAM*. Per **la sicurezza della password**, seleziona **Richiedi almeno un carattere non alfanumerico**.
## [IAM.14] Assicurati che la politica delle password IAM richieda almeno un numero
**Requisiti correlati:** CIS AWS Foundations Benchmark v1.2.0/1.8, NIST.800-171.r2 3.5.7, PCI DSS v4.0.1/8.3.6, PCI DSS v4.0.1/8.6.3
**Categoria:** Protezione > Gestione degli accessi sicuri
**Gravità:** media
**Tipo di risorsa:** `AWS::::Account`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Le policy sulle password applicano, in parte, requisiti di conformità delle password. Utilizza le politiche di gestione delle password di IAM per assicurarti che le password utilizzino set di caratteri diversi.
Il CIS consiglia che la politica delle password richieda almeno un numero. L'impostazione di una policy di complessità delle password aumenta la resilienza dell'account a fronte di tentativi di accesso di forza bruta.
### Correzione
Per modificare la politica relativa alle password, consulta [Impostazione di una politica di password dell'account per gli utenti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) nella *Guida per l'utente IAM*. Per **la sicurezza della password**, seleziona **Richiedi almeno un numero**.
## [IAM.15] Assicurati che la politica delle password di IAM richieda una lunghezza minima della password pari o superiore a 14
**Requisiti correlati:** CIS Foundations Benchmark v5.0.0/1.7, CIS AWS Foundations Benchmark v3.0.0/1.8, CIS Foundations Benchmark v1.4.0/1.8, CIS AWS Foundations Benchmark v1.2.0/1.9, NIST.800-171.r2 3.5.7 AWS AWS
**Categoria:** Protezione > Gestione degli accessi sicuri
**Gravità:** media
**Tipo di risorsa:** `AWS::::Account`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Le policy sulle password applicano, in parte, requisiti di conformità delle password. Utilizza le politiche di gestione delle password di IAM per assicurarti che le password abbiano almeno una determinata lunghezza.
Il CIS raccomanda che la politica delle password richieda una lunghezza minima della password di 14 caratteri. L'impostazione di una policy di complessità delle password aumenta la resilienza dell'account a fronte di tentativi di accesso di forza bruta.
### Correzione
Per modificare la politica relativa alle password, consulta [Impostazione di una politica di password dell'account per gli utenti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) nella *Guida per l'utente IAM*. Per **la lunghezza minima della password**, inserisci **14** o un numero maggiore.
## [IAM.16] Assicurati che la politica delle password di IAM impedisca il riutilizzo delle password
**Requisiti correlati:** CIS Foundations Benchmark v5.0.0/1.8, CIS AWS Foundations Benchmark v3.0.0/1.9, CIS Foundations Benchmark v1.4.0/1.9, CIS AWS Foundations Benchmark v1.2.0/1.10, NIST.800-171.r2 3.5.8, PCI DSS v4.0.1/8.3.7 AWS AWS
**Categoria:** Protezione > Gestione degli accessi sicuri
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::::Account`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se il numero di password da ricordare è impostato su 24. Il controllo ha esito negativo se il valore non è 24.
Le policy di gestione delle password di IAM possono impedire il riutilizzo di una determinata password da parte dello stesso utente.
Il CIS raccomanda che la politica in materia di password impedisca il riutilizzo delle password. Impedire il riutilizzo delle password consente di incrementare la resilienza dell'account rispetto a tentativi di accesso di forza bruta.
### Correzione
Per modificare la politica relativa alle password, consulta [Impostazione di una politica di password dell'account per gli utenti IAM nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) per l'utente *IAM*. Per **Impedire il riutilizzo della password**, inserisci**24**.
## [IAM.17] Assicurati che la policy sulle password di IAM faccia scadere le password entro 90 giorni o meno
**Requisiti correlati:** CIS AWS Foundations Benchmark v1.2.0/1.11, PCI DSS v4.0.1/8.3.9, PCI DSS v4.0.1/8.3.10.1
**Categoria:** Protezione > Gestione degli accessi sicuri
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::::Account`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Le policy relative alle password di IAM possono richiedere che le password vengano ruotate o scadute dopo un determinato numero di giorni.
Il CIS consiglia che la politica sulle password faccia scadere le password dopo 90 giorni o meno. La riduzione della durata della password aumenta la resilienza dell'account contro tentativi di accesso di forza bruta. Richiedere le modifiche regolari delle password è utile nelle seguenti situazioni:
+ Le password possono essere rubate o compromesse senza saperlo. Questo può accadere tramite compromissione del sistema, vulnerabilità del software o minacce interne.
+ Alcuni filtri Web aziendali e governativi o server proxy sono in grado di intercettare e registrare il traffico anche se è criptato.
+ Molte persone utilizzano la stessa password per molti sistemi diversi come lavoro, e-mail e personale.
+ Workstation dell'utente finale compromesse potrebbero includere un keystroke logger.
### Correzione
Per modificare la politica relativa alle password, consulta [Impostazione di una politica di password dell'account per gli utenti IAM nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) per l'utente *IAM*. Per **attivare la scadenza della password**, inserisci **90** o un numero inferiore.
## [IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con Supporto AWS
**Requisiti correlati:** CIS Foundations Benchmark v5.0.0/1.16, CIS AWS Foundations Benchmark v3.0.0/1.17, CIS Foundations Benchmark v1.4.0/1.17, CIS AWS Foundations Benchmark v1.2.0/1.20, NIST.800-171.r2 3.1.2, PCI DSS v4.0.1/12.10.3 AWS AWS
**Categoria:** Protezione > Gestione degli accessi sicuri
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::::Account`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-in-use.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-in-use.html)
**Tipo di pianificazione:** periodica
**Parametri:**
+ `policyARN`: `arn:partition:iam::aws:policy/AWSSupportAccess` (non personalizzabile)
+ `policyUsageType`: `ANY` (non personalizzabile)
AWS fornisce un centro di supporto che può essere utilizzato per la notifica e la risposta agli incidenti, nonché per il supporto tecnico e il servizio clienti.
Crea un ruolo IAM per consentire agli utenti autorizzati di gestire gli incidenti con AWS Support. Implementando il privilegio minimo per il controllo degli accessi, un ruolo IAM richiederà una policy IAM appropriata per consentire l'accesso al centro di supporto per gestire gli incidenti con. Supporto
**Nota**
AWS Config deve essere abilitato in tutte le regioni in cui si utilizza Security Hub CSPM. Tuttavia, la registrazione globale delle risorse può essere abilitata in una singola regione. Se si registrano solo risorse globali in una singola area, è possibile disabilitare questo controllo in tutte le aree, ad eccezione dell'area in cui si registrano le risorse globali.
### Correzione
Per risolvere questo problema, crea un ruolo che consenta agli utenti autorizzati di gestire gli Supporto incidenti.
**Per creare il ruolo da utilizzare per l'accesso Supporto**
1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel riquadro di navigazione IAM, scegli **Ruoli**, quindi scegli **Crea ruolo**.
1. Per **Tipo di ruolo**, scegli **Altro Account AWS**.
1. Per **ID account**, inserisci l' Account AWS ID Account AWS a cui desideri concedere l'accesso alle tue risorse.
Se gli utenti o i gruppi che assumeranno questo ruolo si trovano nello stesso account, immettere il numero di account locale.
**Nota**
L'amministratore dell'account specificato può concedere l'autorizzazione di assumere questo ruolo a qualsiasi utente in tale account. Per eseguire questa operazione, l'amministratore collega una policy all'utente o al gruppo che garantisce l'autorizzazione per l'operazione `sts:AssumeRole`. In tale policy, la risorsa deve essere l'ARN del ruolo.
1. Scegli **Successivo: autorizzazioni**.
1. Cercare la policy gestita `AWSSupportAccess`.
1. Selezionare la casella di controllo per la policy gestita `AWSSupportAccess`.
1. Scegli **Successivo: Tag**.
1. (Facoltativo) Per aggiungere metadati al ruolo, allega i tag come coppie chiave-valore.
Per ulteriori informazioni sull'utilizzo dei tag in IAM, vedere [Tagging di utenti e ruoli IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) nella *Guida per l'utente di IAM*.
1. Scegli **Prossimo: Rivedi**.
1. In **Nome ruolo**, immetti un nome per il ruolo.
I nomi dei ruoli devono essere univoci all'interno del tuo. Account AWS Non rispettano la distinzione tra maiuscole e minuscole.
1. (Facoltativo) In **Descrizione ruolo**, immettere una descrizione per il nuovo ruolo.
1. Verificare il ruolo e scegliere **Create role (Crea ruolo)**.
## [IAM.19] L'MFA deve essere abilitata per tutti gli utenti IAM
**Requisiti correlati:** NIST.800-53.r5 AC-2 (1), (15), NIST.800-53.r5 AC-3 (1), NIST.800-53.r5 IA-2 (2), (6), NIST.800-53.r5 IA-2 (8), NIST.800-53.r5 IA-2 NIST.800-171.r2 3.3.8, NIST.800-53.r5 IA-2 NIST.800-171.r2 3.5.3, NIST.800-171.r2 3.5.4, NIST.800-171.r2 3.7.5, PCI DSS v3.2.1/8.3.1, PCI DSS v4.0.8.4.2,
**Categoria:** Protezione > Gestione degli accessi sicuri
**Gravità:** media
**Tipo di risorsa:** `AWS::IAM::User`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-user-mfa-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-mfa-enabled.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se gli utenti IAM hanno abilitato l'autenticazione a più fattori (MFA).
**Nota**
AWS Config deve essere abilitato in tutte le regioni in cui si utilizza Security Hub CSPM. Tuttavia, la registrazione globale delle risorse può essere abilitata in una singola regione. Se si registrano solo risorse globali in una singola area, è possibile disabilitare questo controllo in tutte le aree, ad eccezione dell'area in cui si registrano le risorse globali.
### Correzione
*Per aggiungere MFA per gli utenti IAM, consulta Enabling [MFA devices for users AWS nella](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable.html) IAM User Guide.*
## [IAM.20] Evita l'uso dell'utente root
**Importante**
Security Hub CSPM ha ritirato questo controllo nell'aprile 2024. Per ulteriori informazioni, consulta [Registro delle modifiche per i controlli CSPM di Security Hub](controls-change-log.md).
**Requisiti correlati:** CIS Foundations Benchmark v1.2.0/1.1 AWS
**Categoria:** Protezione > Gestione degli accessi sicuri
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::IAM::User`
**AWS Config regola:** `use-of-root-account-test` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: periodica**
**Parametri:** nessuno
Questo controllo verifica se un Account AWS ha restrizioni sull'utilizzo dell'utente root. Il controllo valuta le seguenti risorse:
+ Argomenti su Amazon Simple Notification Service (Amazon SNS)
+ AWS CloudTrail sentieri
+ Filtri metrici associati ai sentieri CloudTrail
+ CloudWatch Allarmi Amazon basati sui filtri
Questo controllo determina se `FAILED` una o più delle seguenti affermazioni sono vere:
+ Non esistono CloudTrail percorsi nell'account.
+ Un CloudTrail percorso è abilitato, ma non configurato con almeno un percorso multiregionale che includa eventi di gestione di lettura e scrittura.
+ Un CloudTrail trail è abilitato, ma non è associato a un gruppo di CloudWatch log Logs.
+ Il filtro metrico esatto prescritto dal Center for Internet Security (CIS) non viene utilizzato. Il filtro metrico prescritto è. `'{$.userIdentity.type="Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType !="AwsServiceEvent"}'`
+ Nell' CloudWatch account non sono presenti allarmi basati sul filtro metrico.
+ CloudWatch gli allarmi configurati per inviare notifiche all'argomento SNS associato non si attivano in base alla condizione di allarme.
+ L'argomento SNS non è conforme ai [vincoli per l'invio di un messaggio a un](https://docs.aws.amazon.com/sns/latest/api/API_Publish.html) argomento SNS.
+ L'argomento SNS non ha almeno un sottoscrittore.
Questo controllo determina `NO_DATA` se una o più delle seguenti affermazioni sono vere:
+ Un percorso multiregionale ha sede in una regione diversa. Security Hub CSPM può generare risultati solo nella regione in cui si trova il percorso.
+ Un percorso multiregionale appartiene a un account diverso. Security Hub CSPM può generare risultati solo per l'account proprietario del percorso.
Questo controllo determina `WARNING` se una o più delle seguenti affermazioni sono vere:
+ L'account corrente non possiede l'argomento SNS a cui si fa riferimento nell' CloudWatch avviso.
+ L'account corrente non ha accesso all'argomento SNS quando richiama l'API SNS. `ListSubscriptionsByTopic`
**Nota**
Ti consigliamo di utilizzare gli itinerari organizzativi per registrare gli eventi di molti account di un'organizzazione. Gli itinerari organizzativi sono percorsi multiregionali per impostazione predefinita e possono essere gestiti solo dall'account di AWS Organizations gestione o dall'account amministratore CloudTrail delegato. L'utilizzo di un percorso organizzativo comporta lo stato di controllo NO\$1DATA per i controlli valutati negli account dei membri dell'organizzazione. Negli account dei membri, Security Hub CSPM genera risultati solo per le risorse di proprietà dei membri. I risultati relativi agli itinerari organizzativi vengono generati nell'account del proprietario della risorsa. Puoi visualizzare questi risultati nel tuo account amministratore delegato CSPM di Security Hub utilizzando l'aggregazione tra regioni.
Come best practice, utilizzare le credenziali dell'utente root solo quando necessario per [eseguire attività](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html) di gestione degli account e dei servizi. Applica le policy IAM direttamente ai gruppi e ai ruoli, ma non agli utenti. Per istruzioni sulla configurazione di un amministratore per l'uso quotidiano, consulta [Creazione del primo utente e gruppo di amministratori IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html) nella *Guida per l'utente IAM*.
### Correzione
I passaggi per risolvere questo problema includono la configurazione di un argomento di Amazon SNS, CloudTrail un percorso, un filtro metrico e un allarme per il filtro metrico.
**Come creare un argomento Amazon SNS**
1. [Apri la console Amazon SNS nella versione v3/home. https://console.aws.amazon.com/sns/](https://console.aws.amazon.com/sns/v3/home)
1. Crea un argomento Amazon SNS che riceva tutti gli allarmi CIS.
Creare almeno un sottoscrittore all'argomento. Per ulteriori informazioni, consulta [Nozioni di base su Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) nella *Guida per gli sviluppatori di Amazon Simple Notification Service*.
Quindi, configura un attivo CloudTrail che si applichi a tutte le regioni. A questo scopo, seguire le fasi di correzione in [[CloudTrail.1] CloudTrail deve essere abilitato e configurato con almeno un percorso multiregionale che includa eventi di gestione di lettura e scrittura](cloudtrail-controls.md#cloudtrail-1).
Prendi nota del nome del gruppo di log CloudWatch Logs che associ al CloudTrail percorso. Crei il filtro metrico per quel gruppo di log.
Infine, crea il filtro metrico e l'allarme.
**Per creare un filtro parametri e allarme**
1. Apri la CloudWatch console all'indirizzo [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Nel pannello di navigazione, selezionare **Log groups (Gruppi di log)**.
1. Seleziona la casella di controllo per il gruppo di log CloudWatch Logs associato al CloudTrail percorso che hai creato.
1. Da **Azioni**, scegli **Crea filtro metrico**.
1. In **Definisci modello**, procedi come segue:
1. Copiare il seguente modello e incollarlo nel campo **Filter Pattern (Modello di filtro)**.
```
{$.userIdentity.type="Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType !="AwsServiceEvent"}
```
1. Scegli **Next (Successivo)**.
1. In **Assegna metrica, effettuate** le seguenti operazioni:
1. In **Nome filtro**, inserisci un nome per il filtro metrico.
1. Per **Metric Namespace**, inserisci. **LogMetrics**
Se utilizzi lo stesso namespace per tutti i filtri delle metriche dei log CIS, tutte le metriche di CIS Benchmark vengono raggruppate insieme.
1. Per **Metric Name, inserisci un nome per la metrica**. Ricorda il nome della metrica. Dovrai selezionare la metrica quando crei l'allarme.
1. In **Metric value (Valore parametro)**, inserisci **1**.
1. Scegli **Next (Successivo)**.
1. In **Rivedi e crea**, verifica le informazioni che hai fornito per il nuovo filtro metrico. Quindi, scegli **Crea filtro metrico**.
1. Nel riquadro di navigazione, scegli **Gruppi di log**, quindi scegli il filtro che hai creato in Filtri **metrici**.
1. Seleziona la casella di controllo per il filtro. Scegli **Crea allarme**.
1. In **Specificare metriche e condizioni**, procedi come segue:
1. In **Condizioni**, per **Soglia**, scegli **Statico**.
1. Per **Definire la condizione di allarme**, scegli **Maggiore/Uguale.**
1. Per **Definire il valore di soglia**, immettere. **1**
1. Scegli **Next (Successivo)**.
1. In **Configura azioni**, procedi come segue:
1. In **Attivazione dello stato di allarme**, scegli **In allarme**.
1. In **Select an SNS topic** (Seleziona un argomento SNS), scegli **Select an existing SNS topic** (Seleziona un argomento SNS esistente).
1. In **Invia una notifica a**, inserisci il nome dell'argomento SNS creato nella procedura precedente.
1. Scegli **Next (Successivo)**.
1. In **Aggiungi nome e descrizione**, inserisci un **nome** e una **descrizione** per l'avviso, ad esempio**CIS-1.1-RootAccountUsage**. Quindi scegli **Successivo**.
1. In **Anteprima e crea**, rivedi la configurazione dell'allarme. Quindi scegli **Crea allarme**.
## [IAM.21] Le policy gestite dai clienti IAM che create non dovrebbero consentire azioni jolly per i servizi
**Requisiti correlati:** NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-2 (1), (15) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7),, (10), NIST.800-53.r5 AC-3 (2), NIST.800-53.r5 AC-6 (3) NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 NIST.800-171.r2 3.1.1, NIST.800-53.r5 AC-6 NIST.800-171.r2 3.1.2, NIST.800-171.r2 3.1.5, NIST.800-171.r2 3.1.7, NIST.800-171.r2 3.3.8, NIST.800-171.r2 3.3.9, NIST.800-171.r2 3.13.3, NIST.800-171.r2 3.13.4
**Categoria:** Rileva > Gestione sicura degli accessi
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::IAM::Policy`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-no-statements-with-full-access.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-no-statements-with-full-access.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
+ `excludePermissionBoundaryPolicy`: `True` (non personalizzabile)
Questo controllo verifica se le policy basate sull'identità IAM che crei dispongono di istruzioni Allow che utilizzano la wildcard \$1 per concedere le autorizzazioni per tutte le azioni su qualsiasi servizio. Il controllo ha esito negativo se una dichiarazione di policy include with. `"Effect": "Allow"` `"Action": "Service:*"`
Ad esempio, la seguente dichiarazione in una politica comporta un errore di ricerca.
```
"Statement": [
{
"Sid": "EC2-Wildcard",
"Effect": "Allow",
"Action": "ec2:*",
"Resource": "*"
}
```
Il controllo ha esito negativo anche se si utilizza `"Effect": "Allow"` con`"NotAction": "service:*"`. In tal caso, l'`NotAction`elemento fornisce l'accesso a tutte le azioni di un Servizio AWS, ad eccezione delle azioni specificate in`NotAction`.
Questo controllo si applica solo alle politiche IAM gestite dal cliente. Non si applica alle policy IAM gestite da AWS.
Quando si assegnano le autorizzazioni a Servizi AWS, è importante definire l'ambito delle azioni IAM consentite nelle politiche IAM. È necessario limitare le azioni IAM solo alle azioni necessarie. Questo ti aiuta a fornire i permessi con privilegi minimi. Politiche eccessivamente permissive potrebbero portare a un aumento dei privilegi se le policy sono collegate a un principale IAM che potrebbe non richiedere l'autorizzazione.
In alcuni casi, potresti voler consentire azioni IAM con un prefisso simile, come e. `DescribeFlowLogs` `DescribeAvailabilityZones` In questi casi autorizzati, puoi aggiungere un carattere jolly con suffisso al prefisso comune. Ad esempio, `ec2:Describe*`.
Questo controllo passa se si utilizza un'azione IAM con prefisso e un carattere jolly con suffisso. Ad esempio, la seguente dichiarazione in una politica restituisce un risultato positivo.
```
"Statement": [
{
"Sid": "EC2-Wildcard",
"Effect": "Allow",
"Action": "ec2:Describe*",
"Resource": "*"
}
```
Raggruppando le azioni IAM correlate in questo modo, puoi anche evitare di superare i limiti di dimensione delle policy IAM.
**Nota**
AWS Config deve essere abilitato in tutte le regioni in cui si utilizza Security Hub CSPM. Tuttavia, la registrazione globale delle risorse può essere abilitata in una singola regione. Se si registrano solo risorse globali in una singola area, è possibile disabilitare questo controllo in tutte le aree, ad eccezione dell'area in cui si registrano le risorse globali.
### Correzione
Per risolvere questo problema, aggiorna le policy IAM in modo che non consentano i privilegi amministrativi «\$1» completi. Per i dettagli su come modificare una policy IAM, consulta [Modifica delle policy IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html) nella *IAM User Guide*.
## [IAM.22] Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse
**Requisiti correlati:** CIS Foundations Benchmark v5.0.0/1.11, CIS AWS Foundations Benchmark v3.0.0/1.12, CIS Foundations Benchmark v1.4.0/1.12, NIST.800-171.r2 AWS 3.1.2 AWS
**Categoria:** Protezione > Gestione degli accessi sicuri
**Gravità:** media
**Tipo di risorsa:** `AWS::IAM::User`
**AWS Config regola: [https://docs.aws.amazon.com/config/latest/developerguide/iam-user-unused-credentials-check.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-unused-credentials-check.html)**
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se gli utenti IAM dispongono di password o chiavi di accesso attive che non vengono utilizzate da 45 giorni o più. A tal fine, verifica se il `maxCredentialUsageAge` parametro della AWS Config regola è uguale o superiore a 45.
Gli utenti possono accedere alle AWS risorse utilizzando diversi tipi di credenziali, come password o chiavi di accesso.
Il CIS consiglia di rimuovere o disattivare tutte le credenziali che non sono state utilizzate per 45 giorni o più. La disabilitazione o la rimozione di credenziali non necessarie riduce la finestra di opportunità per le credenziali associate a un account compromesso o abbandonato da utilizzare.
La AWS Config regola per questo controllo utilizza le operazioni [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetCredentialReport.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetCredentialReport.html)e [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GenerateCredentialReport.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GenerateCredentialReport.html)API, che vengono aggiornate solo ogni quattro ore. Le modifiche agli utenti IAM possono richiedere fino a quattro ore per essere visibili a questo controllo.
**Nota**
AWS Config deve essere abilitato in tutte le regioni in cui si utilizza Security Hub CSPM. Tuttavia, è possibile abilitare la registrazione delle risorse globali in una singola regione. Se si registrano solo risorse globali in una singola area, è possibile disabilitare questo controllo in tutte le aree, ad eccezione dell'area in cui si registrano le risorse globali.
### Correzione
Quando visualizzi le informazioni sull'utente nella console IAM, ci sono colonne relative **all'età della chiave di accesso**, **all'età della password** e all'**ultima attività**. Se il valore in una di queste colonne è superiore a 45 giorni, rendi inattive le credenziali di tali utenti.
Puoi anche utilizzare i [report sulle credenziali](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html#getting-credential-reports-console) per monitorare gli utenti e identificare quelli che non svolgono alcuna attività per 45 o più giorni. Puoi scaricare i report sulle credenziali in `.csv` formato dalla console IAM.
Dopo aver identificato gli account inattivi o le credenziali non utilizzate, disattivali. *Per istruzioni, consulta [Creazione, modifica o eliminazione di una password utente IAM (console) nella Guida per l'utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_admin-change-user.html#id_credentials_passwords_admin-change-user_console).*
## [IAM.23] Gli analizzatori IAM Access Analyzer devono essere etichettati
**Categoria: Identificazione > Inventario > Etichettatura**
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::AccessAnalyzer::Analyzer`
**AWS Config regola:** `tagged-accessanalyzer-analyzer` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | No default value |
Questo controllo verifica se un analizzatore gestito da AWS Identity and Access Management Access Analyzer (IAM Access Analyzer) dispone di tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se l'analizzatore non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro. `requiredTagKeys` Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'analizzatore non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice sull'etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
Per aggiungere tag a un analizzatore, consulta [TagResourceAWS](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_TagResource.html)*IAM Access Analyzer* API Reference.
## [IAM.24] I ruoli IAM devono essere etichettati
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::IAM::Role`
**AWS Config regola:** `tagged-iam-role` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | No default value |
Questo controllo verifica se un ruolo AWS Identity and Access Management (IAM) ha tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se il ruolo non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il ruolo non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice sull'etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
*Per aggiungere tag a un ruolo IAM, consulta [Tagging IAM resources nella IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) User Guide.*
## [IAM.25] Gli utenti IAM devono essere etichettati
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::IAM::User`
**AWS Config regola:** `tagged-iam-user` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | No default value |
Questo controllo verifica se un utente AWS Identity and Access Management (IAM) dispone di tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se l'utente non dispone di alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'utente non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice sull'etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
*Per aggiungere tag a un utente IAM, consulta [Tagging IAM resources nella IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) User Guide.*
## [IAM.26] I SSL/TLS certificati scaduti gestiti in IAM devono essere rimossi
**Requisiti correlati:** CIS Foundations Benchmark v5.0.0/1.18, CIS AWS Foundations Benchmark v3.0.0/1.19 AWS
**Categoria**: Identificazione > Conformità
**Gravità:** media
**Tipo di risorsa:** `AWS::IAM::ServerCertificate`
**AWS Config regola: [https://docs.aws.amazon.com/config/latest/developerguide/iam-server-certificate-expiration-check.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-server-certificate-expiration-check.html)**
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se un certificato di SSL/TLS server attivo gestito in IAM è scaduto. Il controllo fallisce se il certificato del SSL/TLS server scaduto non viene rimosso.
Per abilitare le connessioni HTTPS al sito Web o all'applicazione in AWS, è necessario un certificato SSL/TLS del server. Puoi utilizzare IAM o AWS Certificate Manager (ACM) per archiviare e distribuire i certificati del server. Utilizza IAM come gestore di certificati solo quando devi supportare connessioni HTTPS in un ambiente Regione AWS non supportato da ACM. IAM crittografa in modo sicuro le chiavi private e archivia la versione crittografata nella memoria dei certificati SSL di IAM. IAM supporta la distribuzione di certificati server in tutte le regioni, ma è necessario ottenere il certificato da un provider esterno per utilizzarlo con. AWS Non puoi caricare un certificato ACM su IAM. Inoltre, non puoi gestire i tuoi certificati dalla console IAM. La rimozione SSL/TLS dei certificati scaduti elimina il rischio che un certificato non valido venga distribuito accidentalmente su una risorsa, il che può danneggiare la credibilità dell'applicazione o del sito Web sottostante.
### Correzione
*Per rimuovere un certificato server da IAM, consulta [Managing server certificates in IAM nella IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_server-certs.html) User Guide.*
## [IAM.27] Le identità IAM non devono avere la policy allegata AWSCloud ShellFullAccess
**Requisiti correlati:** CIS Foundations Benchmark v5.0.0/1.21, CIS AWS Foundations Benchmark v3.0.0/1.22 AWS
**Categoria**: Protezione > Gestione sicura degli accessi > Policy IAM sicure
**Gravità:** media
**Tipo di risorsa:**`AWS::IAM::Role`,`AWS::IAM::User`, `AWS::IAM::Group`
**AWS Config regola: [https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-blacklisted-check.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-blacklisted-check.html)**
**Tipo di pianificazione:** modifica attivata
**Parametri:**
+ «Policyarns»: «arn:aws:iam: :aws:» policy/AWSCloudShellFullAccess,arn:aws-cn:iam::aws:policy/AWSCloudShellFullAccess, arn:aws-us-gov:iam::aws:policy/AWSCloudShellFullAccess
Questo controllo verifica se a un'identità IAM (utente, ruolo o gruppo) è associata la policy gestita. AWS `AWSCloudShellFullAccess` Il controllo fallisce se a un'identità IAM è associata la `AWSCloudShellFullAccess` policy.
AWS CloudShell fornisce un modo conveniente per eseguire i comandi CLI. Servizi AWS La policy AWS gestita `AWSCloudShellFullAccess` fornisce l'accesso completo a CloudShell, che consente la funzionalità di caricamento e download di file tra il sistema locale dell'utente e l' CloudShell ambiente. All'interno dell' CloudShell ambiente, un utente dispone delle autorizzazioni sudo e può accedere a Internet. Di conseguenza, l'associazione di questa policy gestita a un'identità IAM offre loro la possibilità di installare software per il trasferimento di file e spostare i dati CloudShell da server Internet esterni. Ti consigliamo di seguire il principio del privilegio minimo e di assegnare autorizzazioni più limitate alle tue identità IAM.
### Correzione
*Per scollegare la `AWSCloudShellFullAccess` policy da un'identità IAM, consulta [Aggiungere e rimuovere le autorizzazioni di identità IAM nella Guida per l'utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html).*
## [IAM.28] L'analizzatore di accesso esterno IAM Access Analyzer deve essere abilitato
**Requisiti correlati:** CIS Foundations Benchmark v5.0.0/1.19, CIS AWS Foundations Benchmark v3.0.0/1.20 AWS
**Categoria**: Rileva > Servizi di rilevamento > Monitoraggio dell'utilizzo privilegiato
**Gravità:** alta
**Tipo di risorsa:** `AWS::AccessAnalyzer::Analyzer`
**AWS Config regola: [https://docs.aws.amazon.com/config/latest/developerguide/iam-external-access-analyzer-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-external-access-analyzer-enabled.html)**
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se un Account AWS ha un analizzatore di accesso esterno IAM Access Analyzer abilitato. Il controllo fallisce se l'account non ha un analizzatore di accesso esterno abilitato nell'area attualmente selezionata. Regione AWS
Gli analizzatori di accesso esterni IAM Access Analyzer aiutano a identificare le risorse, come i bucket Amazon Simple Storage Service (Amazon S3) o i ruoli IAM, condivisi con un'entità esterna. Questo ti aiuta a evitare l'accesso involontario alle tue risorse e ai tuoi dati. IAM Access Analyzer è regionale e deve essere abilitato in ogni regione. Per identificare le risorse condivise con responsabili esterni, un analizzatore di accessi utilizza il ragionamento basato sulla logica per analizzare le politiche basate sulle risorse nel tuo ambiente. AWS Quando si crea un analizzatore di accessi esterno, è possibile crearlo e attivarlo per l'intera organizzazione o per singoli account.
**Nota**
Se un account fa parte di un'organizzazione in AWS Organizations, questo controllo non tiene conto degli analizzatori di accesso esterni che specificano l'organizzazione come zona di fiducia e sono abilitati per l'organizzazione nella regione corrente. Se l'organizzazione utilizza questo tipo di configurazione, valuta la possibilità di disabilitare questo controllo per gli account dei singoli membri dell'organizzazione nella regione.
### Correzione
Per informazioni sull'attivazione di un analizzatore di accesso esterno in una regione specifica, consulta [Guida introduttiva a IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-getting-started.html) nella *IAM* User Guide. È necessario abilitare un analizzatore in ogni regione in cui si desidera monitorare l'accesso alle risorse.
# Controlli CSPM di Security Hub per Amazon Inspector
Questi AWS Security Hub CSPM controlli valutano il servizio e le risorse di Amazon Inspector.
Questi controlli potrebbero non essere disponibili in tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [Inspector.1] La scansione di Amazon Inspector deve essere abilitata EC2
Requisiti **correlati**: PCI DSS v4.0.1/11.3.1
**Categoria:** Rilevamento > Servizi di rilevamento
**Gravità:** alta
**Tipo di risorsa:** `AWS::::Account`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/inspector-ec2-scan-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/inspector-ec2-scan-enabled.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se la EC2 scansione di Amazon Inspector è abilitata. Per un account indipendente, il controllo fallisce se la scansione di Amazon EC2 Inspector è disabilitata nell'account. In un ambiente con più account, il controllo fallisce se l'account amministratore delegato di Amazon Inspector e tutti gli account dei membri non EC2 hanno la scansione abilitata.
In un ambiente con più account, il controllo genera risultati solo nell'account amministratore delegato di Amazon Inspector. Solo l'amministratore delegato può abilitare o disabilitare la funzionalità di EC2 scansione per gli account dei membri dell'organizzazione. Gli account membri di Amazon Inspector non possono modificare questa configurazione dai loro account. Questo controllo genera `FAILED` risultati se l'amministratore delegato ha un account membro sospeso che non ha la scansione di Amazon EC2 Inspector abilitata. Per ricevere un `PASSED` risultato, l'amministratore delegato deve dissociare questi account sospesi in Amazon Inspector.
La EC2 scansione di Amazon Inspector estrae i metadati dalla tua istanza Amazon Elastic Compute Cloud ( EC2Amazon), quindi confronta questi metadati con le regole raccolte dagli avvisi di sicurezza per produrre risultati. Amazon Inspector analizza le istanze alla ricerca di vulnerabilità dei pacchetti e problemi di raggiungibilità della rete. Per informazioni sui sistemi operativi supportati, incluso il sistema operativo che può essere scansionato senza un agente SSM, consulta [Sistemi operativi supportati: Amazon EC2 scanning](https://docs.aws.amazon.com/inspector/latest/user/supported.html#supported-os-ec2).
### Correzione
*Per abilitare la EC2 scansione di Amazon Inspector, consulta [Attivazione delle scansioni nella Guida](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html#activate-scans-proc) per l'utente di Amazon Inspector.*
## [Inspector.2] La scansione ECR di Amazon Inspector deve essere abilitata
**Requisiti correlati: PCI DSS v4.0.1/11.3.1**
**Categoria:** Rilevamento > Servizi di rilevamento
**Gravità:** alta
**Tipo di risorsa:** `AWS::::Account`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/inspector-ecr-scan-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/inspector-ecr-scan-enabled.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se la scansione ECR di Amazon Inspector è abilitata. Per un account indipendente, il controllo fallisce se la scansione ECR di Amazon Inspector è disabilitata nell'account. In un ambiente con più account, il controllo fallisce se l'account amministratore delegato di Amazon Inspector e tutti gli account dei membri non hanno abilitato la scansione ECR.
In un ambiente con più account, il controllo genera risultati solo nell'account amministratore delegato di Amazon Inspector. Solo l'amministratore delegato può abilitare o disabilitare la funzionalità di scansione ECR per gli account dei membri dell'organizzazione. Gli account membri di Amazon Inspector non possono modificare questa configurazione dai loro account. Questo controllo genera `FAILED` risultati se l'amministratore delegato ha un account membro sospeso che non ha la scansione ECR di Amazon Inspector abilitata. Per ricevere un `PASSED` risultato, l'amministratore delegato deve dissociare questi account sospesi in Amazon Inspector.
Amazon Inspector analizza le immagini dei container archiviate in Amazon Elastic Container Registry (Amazon ECR) alla ricerca di vulnerabilità del software per generare risultati sulle vulnerabilità dei pacchetti. Quando attivi le scansioni Amazon Inspector per Amazon ECR, imposti Amazon Inspector come servizio di scansione preferito per il tuo registro privato. Questo sostituisce la scansione di base, fornita gratuitamente da Amazon ECR, con la scansione avanzata, fornita e fatturata tramite Amazon Inspector. La scansione avanzata offre il vantaggio della scansione delle vulnerabilità sia per il sistema operativo che per i pacchetti di linguaggi di programmazione a livello di registro. Puoi esaminare i risultati scoperti utilizzando la scansione avanzata a livello di immagine, per ogni livello dell'immagine, sulla console Amazon ECR. Inoltre, puoi esaminare e utilizzare questi risultati in altri servizi non disponibili per le scansioni di base, AWS Security Hub CSPM tra cui Amazon EventBridge.
### Correzione
*Per abilitare la scansione Amazon Inspector ECR, consulta [Attivazione delle scansioni nella Guida per l'](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html#activate-scans-proc)utente di Amazon Inspector.*
## [Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata
**Requisiti correlati: PCI DSS v4.0.1/6.2.4, PCI** DSS v4.0.1/6.3.1
**Categoria:** Rilevamento > Servizi di rilevamento
**Gravità:** alta
**Tipo di risorsa:** `AWS::::Account`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/inspector-lambda-code-scan-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/inspector-lambda-code-scan-enabled.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se la scansione del codice Amazon Inspector Lambda è abilitata. Per un account indipendente, il controllo fallisce se la scansione del codice Amazon Inspector Lambda è disabilitata nell'account. In un ambiente con più account, il controllo fallisce se l'account amministratore delegato di Amazon Inspector e tutti gli account membri non hanno abilitato la scansione del codice Lambda.
In un ambiente con più account, il controllo genera risultati solo nell'account amministratore delegato di Amazon Inspector. Solo l'amministratore delegato può abilitare o disabilitare la funzionalità di scansione del codice Lambda per gli account dei membri dell'organizzazione. Gli account membri di Amazon Inspector non possono modificare questa configurazione dai loro account. Questo controllo genera `FAILED` risultati se l'amministratore delegato ha un account membro sospeso che non ha abilitato la scansione del codice Amazon Inspector Lambda. Per ricevere un `PASSED` risultato, l'amministratore delegato deve dissociare questi account sospesi in Amazon Inspector.
La scansione del codice Amazon Inspector Lambda analizza il codice dell'applicazione personalizzata all'interno di una AWS Lambda funzione alla ricerca di vulnerabilità del codice in base alle best practice di sicurezza. AWS La scansione del codice Lambda può rilevare difetti di iniezione, fughe di dati, crittografia debole o crittografia mancante nel codice. [Questa funzionalità è disponibile solo in alcuni casi specifici. Regioni AWS](https://docs.aws.amazon.com/inspector/latest/user/inspector_regions.html#ins-regional-feature-availability) È possibile attivare la scansione del codice Lambda insieme alla scansione standard Lambda (vedi). [[Inspector.4] La scansione standard di Amazon Inspector Lambda deve essere abilitata](#inspector-4)
### Correzione
*Per abilitare la scansione del codice Amazon Inspector Lambda, consulta [Attivazione delle scansioni nella](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html#activate-scans-proc) Guida per l'utente di Amazon Inspector.*
## [Inspector.4] La scansione standard di Amazon Inspector Lambda deve essere abilitata
**Requisiti correlati: PCI DSS v4.0.1/6.2.4, PCI** DSS v4.0.1/6.3.1
**Categoria:** Rilevamento > Servizi di rilevamento
**Gravità:** alta
**Tipo di risorsa:** `AWS::::Account`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/inspector-lambda-standard-scan-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/inspector-lambda-standard-scan-enabled.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se la scansione standard di Amazon Inspector Lambda è abilitata. Per un account indipendente, il controllo fallisce se la scansione standard di Amazon Inspector Lambda è disabilitata nell'account. In un ambiente con più account, il controllo fallisce se l'account amministratore delegato di Amazon Inspector e tutti gli account membri non hanno abilitato la scansione standard Lambda.
In un ambiente con più account, il controllo genera risultati solo nell'account amministratore delegato di Amazon Inspector. Solo l'amministratore delegato può abilitare o disabilitare la funzionalità di scansione standard Lambda per gli account dei membri dell'organizzazione. Gli account membri di Amazon Inspector non possono modificare questa configurazione dai loro account. Questo controllo genera `FAILED` risultati se l'amministratore delegato ha un account membro sospeso che non ha la scansione standard Amazon Inspector Lambda abilitata. Per ricevere un `PASSED` risultato, l'amministratore delegato deve dissociare questi account sospesi in Amazon Inspector.
La scansione standard di Amazon Inspector Lambda identifica le vulnerabilità del software nelle dipendenze dei pacchetti applicativi che aggiungi al codice e ai livelli delle funzioni. AWS Lambda Se Amazon Inspector rileva una vulnerabilità nelle dipendenze del pacchetto applicativo della funzione Lambda, Amazon Inspector fornisce una ricerca dettagliata del tipo. `Package Vulnerability` È possibile attivare la scansione del codice Lambda insieme alla scansione standard Lambda (vedi). [[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata](#inspector-3)
### Correzione
*Per abilitare la scansione standard di Amazon Inspector Lambda, consulta [Attivazione delle scansioni nella](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html#activate-scans-proc) Guida per l'utente di Amazon Inspector.*
# Controlli CSPM Security Hub per AWS IoT
Questi AWS Security Hub CSPM controlli valutano il AWS IoT servizio e le risorse.
Questi controlli potrebbero non essere disponibili tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [IoT.1] i profili di AWS IoT Device Defender sicurezza devono essere etichettati
**Categoria: Identificazione > Inventario** > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::IoT::SecurityProfile`
**AWS Config regola:** `tagged-iot-securityprofile` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | No default value |
Questo controllo verifica se un profilo AWS IoT Device Defender di sicurezza ha tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se il profilo di sicurezza non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il profilo di sicurezza non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
*Per aggiungere tag a un profilo di AWS IoT Device Defender sicurezza, consulta [Tagging your AWS IoT resources](https://docs.aws.amazon.com/iot/latest/developerguide/tagging-iot.html) nella Developer Guide.AWS IoT *
## [IoT.2] le azioni di AWS IoT Core mitigazione devono essere etichettate
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::IoT::MitigationAction`
**AWS Config regola:** `tagged-iot-mitigationaction` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | No default value |
Questo controllo verifica se un'azione di AWS IoT Core mitigazione ha tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se l'azione di mitigazione non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro. `requiredTagKeys` Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'azione di mitigazione non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
*Per aggiungere tag a un'azione di AWS IoT Core mitigazione, consulta [Tagging your AWS IoT resources](https://docs.aws.amazon.com/iot/latest/developerguide/tagging-iot.html) nella Developer Guide.AWS IoT *
## [IoT.3] le AWS IoT Core dimensioni devono essere etichettate
**Categoria: Identificazione > Inventario** > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::IoT::Dimension`
**AWS Config regola:** `tagged-iot-dimension` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | No default value |
Questo controllo verifica se una AWS IoT Core dimensione ha tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se la dimensione non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se la dimensione non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
*Per aggiungere tag a una AWS IoT Core dimensione, consulta [Tagging your AWS IoT resources](https://docs.aws.amazon.com/iot/latest/developerguide/tagging-iot.html) nella Developer Guide.AWS IoT *
## gli AWS IoT Core autorizzatori [IoT.4] devono essere etichettati
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::IoT::Authorizer`
**AWS Config regola:** `tagged-iot-authorizer` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | No default value |
Questo controllo verifica se un AWS IoT Core autorizzatore dispone di tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se l'autorizzatore non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro. `requiredTagKeys` Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'autorizzatore non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
*Per aggiungere tag a un programma di AWS IoT Core autorizzazione, consulta [Tagging your AWS IoT resources](https://docs.aws.amazon.com/iot/latest/developerguide/tagging-iot.html) nella Developer Guide.AWS IoT *
## [IoT.5] gli alias dei AWS IoT Core ruoli devono essere etichettati
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::IoT::RoleAlias`
**AWS Config regola:** `tagged-iot-rolealias` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | No default value |
Questo controllo verifica se un alias di AWS IoT Core ruolo ha tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo ha esito negativo se l'alias del ruolo non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro. `requiredTagKeys` Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'alias del ruolo non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
*Per aggiungere tag a un alias di AWS IoT Core ruolo, consulta [Tagging your AWS IoT resources](https://docs.aws.amazon.com/iot/latest/developerguide/tagging-iot.html) nella Developer Guide.AWS IoT *
## [IoT.6] AWS IoT Core le politiche devono essere etichettate
**Categoria: Identificazione > Inventario** > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::IoT::Policy`
**AWS Config regola:** `tagged-iot-policy` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | No default value |
Questo controllo verifica se una AWS IoT Core policy ha tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se la policy non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se la policy non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
*Per aggiungere tag a una AWS IoT Core politica, consulta [Tagging your AWS IoT resources](https://docs.aws.amazon.com/iot/latest/developerguide/tagging-iot.html) nella Developer Guide.AWS IoT *
# Controlli CSPM Security Hub per AWS IoT Events
Questi AWS Security Hub CSPM controlli valutano il servizio e le risorse AWS IoT Events.
Questi controlli potrebbero non essere disponibili tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [Io TEvents .1] Gli input di AWS IoT Events devono essere etichettati
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::IoTEvents::Input`
**Regola AWS Config : ** `iotevents-input-tagged`
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un input AWS IoT Events ha tag con le chiavi specifiche definite nel parametro`requiredKeyTags`. Il controllo fallisce se l'input non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredKeyTags`. Se il parametro `requiredKeyTags` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'input non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella Guida per l'utente *IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Migliori pratiche e strategie](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) nella Guida per l'*utente di Tagging AWS Resources and Tag Editor*.
### Correzione
Per aggiungere tag a un input di AWS IoT Events, consulta [Tagging your AWS IoT Events resources](https://docs.aws.amazon.com/iotevents/latest/developerguide/tagging-iotevents.html) nella *AWS IoT Events Developer Guide*.
## [Io TEvents .2] I modelli di rilevatori AWS IoT Events devono essere etichettati
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::IoTEvents::DetectorModel`
**Regola AWS Config : ** `iotevents-detector-model-tagged`
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un modello di rilevatore AWS IoT Events dispone di tag con le chiavi specifiche definite nel parametro`requiredKeyTags`. Il controllo fallisce se il modello di rilevatore non dispone di chiavi tag o se non ha tutte le chiavi specificate nel parametro. `requiredKeyTags` Se il parametro `requiredKeyTags` non viene fornito, il controllo verifica solo l'esistenza di una chiave tag e fallisce se il modello del rilevatore non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella Guida per l'utente *IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Migliori pratiche e strategie](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) nella Guida per l'*utente di Tagging AWS Resources and Tag Editor*.
### Correzione
Per aggiungere tag a un modello di rilevatore AWS IoT Events, consulta [Tagging your AWS IoT Events resources](https://docs.aws.amazon.com/iotevents/latest/developerguide/tagging-iotevents.html) nella *AWS IoT Events Developer* Guide.
## [Io TEvents .3] I modelli di allarme AWS IoT Events devono essere etichettati
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::IoTEvents::AlarmModel`
**Regola AWS Config : ** `iotevents-alarm-model-tagged`
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un modello di allarme AWS IoT Events ha tag con le chiavi specifiche definite nel parametro`requiredKeyTags`. Il controllo fallisce se il modello di allarme non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredKeyTags`. Se il parametro `requiredKeyTags` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il modello di allarme non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella Guida per l'utente *IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Migliori pratiche e strategie](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) nella Guida per l'*utente di Tagging AWS Resources and Tag Editor*.
### Correzione
Per aggiungere tag a un modello di allarme AWS IoT Events, consulta [Tagging your AWS IoT Events resources](https://docs.aws.amazon.com/iotevents/latest/developerguide/tagging-iotevents.html) nella *AWS IoT Events Developer Guide*.
# Controlli CSPM Security Hub per IoT AWS SiteWise
Questi AWS Security Hub CSPM controlli valutano il SiteWise servizio e le risorse AWS IoT.
Questi controlli potrebbero non essere disponibili tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [Io TSite Wise.1] I modelli di SiteWise asset AWS IoT devono essere etichettati
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::IoTSiteWise::AssetModel`
**Regola AWS Config : ** `iotsitewise-asset-model-tagged`
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un modello di SiteWise asset AWS IoT ha tag con le chiavi specifiche definite nel parametro`requiredKeyTags`. Il controllo fallisce se il modello di asset non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredKeyTags`. Se il parametro `requiredKeyTags` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il modello di asset non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella Guida per l'utente *IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Migliori pratiche e strategie](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) nella Guida per l'*utente di Tagging AWS Resources and Tag Editor*.
### Correzione
Per aggiungere tag a un modello di SiteWise asset AWS IoT, consulta [Tagga AWS IoT SiteWise le tue risorse](https://docs.aws.amazon.com/iot-sitewise/latest/userguide/tag-resources.html) nella *Guida AWS IoT SiteWise per l'utente*.
## [Io TSite Wise.2] Le SiteWise dashboard AWS IoT devono essere etichettate
**Categoria: Identificazione > Inventario** > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::IoTSiteWise::Dashboard`
**Regola AWS Config : ** `iotsitewise-dashboard-tagged`
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se una SiteWise dashboard AWS IoT ha tag con le chiavi specifiche definite nel parametro`requiredKeyTags`. Il controllo fallisce se la dashboard non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredKeyTags`. Se il parametro `requiredKeyTags` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se la dashboard non è contrassegnata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella Guida per l'utente *IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Migliori pratiche e strategie](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) nella Guida per l'*utente di Tagging AWS Resources and Tag Editor*.
### Correzione
Per aggiungere tag a una SiteWise dashboard AWS IoT, consulta [Tagga AWS IoT SiteWise le tue risorse](https://docs.aws.amazon.com/iot-sitewise/latest/userguide/tag-resources.html) nella *Guida AWS IoT SiteWise per l'utente*.
## [Io TSite Wise.3] I SiteWise gateway AWS IoT devono essere etichettati
**Categoria: Identificazione > Inventario** > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::IoTSiteWise::Gateway`
**Regola AWS Config : ** `iotsitewise-gateway-tagged`
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un SiteWise gateway AWS IoT dispone di tag con le chiavi specifiche definite nel parametro`requiredKeyTags`. Il controllo fallisce se il gateway non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredKeyTags`. Se il parametro `requiredKeyTags` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il gateway non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella Guida per l'utente *IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Migliori pratiche e strategie](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) nella Guida per l'*utente di Tagging AWS Resources and Tag Editor*.
### Correzione
Per aggiungere tag a un SiteWise gateway AWS IoT, consulta [Etichettare le AWS IoT SiteWise risorse](https://docs.aws.amazon.com/iot-sitewise/latest/userguide/tag-resources.html) nella *Guida AWS IoT SiteWise per l'utente*.
## [Io TSite Wise.4] I SiteWise portali AWS IoT devono essere etichettati
**Categoria: Identificazione > Inventario** > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::IoTSiteWise::Portal`
**Regola AWS Config : ** `iotsitewise-portal-tagged`
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un SiteWise portale AWS IoT ha tag con le chiavi specifiche definite nel parametro`requiredKeyTags`. Il controllo fallisce se il portale non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredKeyTags`. Se il parametro `requiredKeyTags` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il portale non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella Guida per l'utente *IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Migliori pratiche e strategie](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) nella Guida per l'*utente di Tagging AWS Resources and Tag Editor*.
### Correzione
Per aggiungere tag a un SiteWise portale AWS IoT, consulta [Etichettare le AWS IoT SiteWise risorse](https://docs.aws.amazon.com/iot-sitewise/latest/userguide/tag-resources.html) nella *Guida AWS IoT SiteWise per l'utente*.
## [Io TSite Wise.5] I SiteWise progetti AWS IoT devono essere etichettati
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::IoTSiteWise::Project`
**Regola AWS Config : ** `iotsitewise-project-tagged`
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un SiteWise progetto AWS IoT ha tag con le chiavi specifiche definite nel parametro`requiredKeyTags`. Il controllo fallisce se il progetto non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredKeyTags`. Se il parametro `requiredKeyTags` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il progetto non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella Guida per l'utente *IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Migliori pratiche e strategie](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) nella Guida per l'*utente di Tagging AWS Resources and Tag Editor*.
### Correzione
Per aggiungere tag a un SiteWise progetto AWS IoT, consulta [Etichettare le AWS IoT SiteWise risorse](https://docs.aws.amazon.com/iot-sitewise/latest/userguide/tag-resources.html) nella *Guida AWS IoT SiteWise per l'utente*.
# Controlli CSPM Security Hub per IoT AWS TwinMaker
Questi AWS Security Hub CSPM controlli valutano il TwinMaker servizio e le risorse AWS IoT.
Questi controlli potrebbero non essere disponibili tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati
**Categoria: Identificazione > Inventario** > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::IoTTwinMaker::SyncJob`
**Regola AWS Config : ** `iottwinmaker-sync-job-tagged`
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un processo di TwinMaker sincronizzazione AWS IoT ha tag con le chiavi specifiche definite nel parametro`requiredKeyTags`. Il controllo fallisce se il processo di sincronizzazione non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredKeyTags`. Se il parametro `requiredKeyTags` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il processo di sincronizzazione non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella Guida per l'utente *IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Migliori pratiche e strategie](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) nella Guida per l'*utente di Tagging AWS Resources and Tag Editor*.
### Correzione
Per aggiungere tag a un processo di TwinMaker sincronizzazione AWS IoT, [https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html](https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html)consulta la *Guida AWS IoT TwinMaker per l'utente*.
## [Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::IoTTwinMaker::Workspace`
**Regola AWS Config : ** `iottwinmaker-workspace-tagged`
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un' TwinMaker area di lavoro AWS IoT dispone di tag con le chiavi specifiche definite nel parametro`requiredKeyTags`. Il controllo fallisce se l'area di lavoro non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro. `requiredKeyTags` Se il parametro `requiredKeyTags` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'area di lavoro non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella Guida per l'utente *IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Migliori pratiche e strategie](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) nella Guida per l'*utente di Tagging AWS Resources and Tag Editor*.
### Correzione
Per aggiungere tag a un' TwinMaker area di lavoro AWS IoT, consulta [https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html](https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html)la *Guida per l'AWS IoT TwinMaker utente*.
## [Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate
**Categoria: Identificazione > Inventario** > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::IoTTwinMaker::Scene`
**Regola AWS Config : ** `iottwinmaker-scene-tagged`
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se una TwinMaker scena AWS IoT ha tag con le chiavi specifiche definite nel parametro`requiredKeyTags`. Il controllo fallisce se la scena non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredKeyTags`. Se il parametro `requiredKeyTags` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se la scena non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella Guida per l'utente *IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Migliori pratiche e strategie](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) nella Guida per l'*utente di Tagging AWS Resources and Tag Editor*.
### Correzione
Per aggiungere tag a una TwinMaker scena AWS IoT, [https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html](https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html)consulta la *Guida AWS IoT TwinMaker per l'utente*.
## [Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate
**Categoria: Identificazione > Inventario** > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::IoTTwinMaker::Entity`
**Regola AWS Config : ** `iottwinmaker-entity-tagged`
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un' TwinMaker entità AWS IoT dispone di tag con le chiavi specifiche definite nel parametro`requiredKeyTags`. Il controllo fallisce se l'entità non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredKeyTags`. Se il parametro `requiredKeyTags` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'entità non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella Guida per l'utente *IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Migliori pratiche e strategie](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) nella Guida per l'*utente di Tagging AWS Resources and Tag Editor*.
### Correzione
Per aggiungere tag a un' TwinMaker entità AWS IoT, [https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html](https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html)consulta la *Guida AWS IoT TwinMaker per l'utente*.
# Controlli CSPM del Security Hub per AWS IoT Wireless
Questi AWS Security Hub CSPM controlli valutano il servizio e le risorse AWS IoT Wireless.
Questi controlli potrebbero non essere disponibili tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::IoTWireless::MulticastGroup`
**Regola AWS Config : ** `iotwireless-multicast-group-tagged`
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un gruppo multicast AWS IoT Wireless dispone di tag con le chiavi specifiche definite nel parametro`requiredKeyTags`. Il controllo ha esito negativo se il gruppo multicast non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro. `requiredKeyTags` Se il parametro `requiredKeyTags` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il gruppo multicast non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella Guida per l'utente *IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Migliori pratiche e strategie](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) nella Guida per l'*utente di Tagging AWS Resources and Tag Editor*.
### Correzione
Per aggiungere tag a un gruppo multicast AWS IoT Wireless, consulta [Tagging your Wireless AWS IoT resources](https://docs.aws.amazon.com/iot-wireless/latest/developerguide/tagging-iotwireless.html) nella *Wireless AWS IoT Developer* Guide.
## [Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::IoTWireless::ServiceProfile`
**Regola AWS Config : ** `iotwireless-service-profile-tagged`
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un profilo di servizio AWS IoT Wireless ha tag con le chiavi specifiche definite nel parametro`requiredKeyTags`. Il controllo fallisce se il profilo di servizio non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredKeyTags`. Se il parametro `requiredKeyTags` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il profilo del servizio non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella Guida per l'utente *IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Migliori pratiche e strategie](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) nella Guida per l'*utente di Tagging AWS Resources and Tag Editor*.
### Correzione
Per aggiungere tag a un profilo di servizio AWS IoT Wireless, consulta [Tagging your Wireless AWS IoT resources](https://docs.aws.amazon.com/iot-wireless/latest/developerguide/tagging-iotwireless.html) nella *Wireless AWS IoT Developer Guide*.
## [Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::IoTWireless::FuotaTask`
**Regola AWS Config : ** `iotwireless-fuota-task-tagged`
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un'attività di aggiornamento del firmware AWS IoT Wireless over-the-air (FUOTA) ha tag con le chiavi specifiche definite nel parametro`requiredKeyTags`. Il controllo fallisce se l'attività FUOTA non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro. `requiredKeyTags` Se il parametro `requiredKeyTags` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'attività FUOTA non è contrassegnata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella Guida per l'utente *IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Migliori pratiche e strategie](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) nella Guida per l'*utente di Tagging AWS Resources and Tag Editor*.
### Correzione
Per aggiungere tag a un'attività FUOTA AWS IoT Wireless, consulta [Tagging your Wireless AWS IoT resources](https://docs.aws.amazon.com/iot-wireless/latest/developerguide/tagging-iotwireless.html) nella *Wireless AWS IoT Developer* Guide.
# Controlli CSPM del Security Hub per Amazon IVS
Questi AWS Security Hub CSPM controlli valutano il servizio e le risorse di Amazon Interactive Video Service (IVS).
Questi controlli potrebbero non essere disponibili tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::IVS::PlaybackKeyPair`
**Regola AWS Config : ** `ivs-playback-key-pair-tagged`
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se una coppia di chiavi di riproduzione Amazon IVS ha tag con le chiavi specifiche definite nel parametro. `requiredKeyTags` Il controllo fallisce se la coppia di chiavi di riproduzione non ha alcuna chiave tag o se non ha tutti i tasti specificati nel parametro`requiredKeyTags`. Se il parametro `requiredKeyTags` non viene fornito, il controllo verifica solo l'esistenza di una chiave tag e fallisce se la coppia di chiavi di riproduzione non è etichettata con alcun tasto. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella Guida per l'utente *IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Migliori pratiche e strategie](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) nella Guida per l'*utente di Tagging AWS Resources and Tag Editor*.
### Correzione
Per aggiungere tag a una coppia di key pair di riproduzione IVS, consulta il riferimento all'API di riferimento per *lo streaming [https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/API_TagResource.html](https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/API_TagResource.html)in tempo reale di Amazon IVS.*
## [IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::IVS::RecordingConfiguration`
**Regola AWS Config : ** `ivs-recording configuration-tagged`
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se una configurazione di registrazione Amazon IVS ha tag con le chiavi specifiche definite nel parametro`requiredKeyTags`. Il controllo fallisce se la configurazione di registrazione non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredKeyTags`. Se il parametro `requiredKeyTags` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se la configurazione di registrazione non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella Guida per l'utente *IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Migliori pratiche e strategie](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) nella Guida per l'*utente di Tagging AWS Resources and Tag Editor*.
### Correzione
Per aggiungere tag a una configurazione di registrazione IVS, consulta il riferimento [https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/API_TagResource.html](https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/API_TagResource.html)all'*API di Amazon IVS Real-Time Streaming*.
## [IVS.3] I canali IVS devono essere etichettati
**Categoria: Identificazione > Inventario** > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::IVS::Channel`
**Regola AWS Config : ** `ivs-channel-tagged`
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un canale Amazon IVS ha tag con le chiavi specifiche definite nel parametro`requiredKeyTags`. Il controllo fallisce se il canale non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredKeyTags`. Se il parametro `requiredKeyTags` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il canale non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella Guida per l'utente *IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Migliori pratiche e strategie](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) nella Guida per l'*utente di Tagging AWS Resources and Tag Editor*.
### Correzione
Per aggiungere tag a un canale IVS, consulta il riferimento [https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/API_TagResource.html](https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/API_TagResource.html)all'*API di Amazon IVS Real-Time Streaming*.
# Controlli CSPM di Security Hub per Amazon Keyspaces
Questi AWS Security Hub CSPM controlli valutano il servizio e le risorse Amazon Keyspaces.
Questi controlli potrebbero non essere disponibili in tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [Keyspaces.1] Gli spazi chiave di Amazon Keyspaces devono essere etichettati
**Categoria: Identificazione > Inventario > Etichettatura**
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::Cassandra::Keyspace`
**Regola AWS Config : ** `cassandra-keyspace-tagged`
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se uno spazio di chiavi di Amazon Keyspaces contiene tag con le chiavi specifiche definite nel parametro. `requiredKeyTags` Il controllo fallisce se lo spazio delle chiavi non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro. `requiredKeyTags` Se il parametro `requiredKeyTags` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se lo spazio delle chiavi non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella Guida per l'utente *IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Migliori pratiche e strategie](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) nella Guida per l'*utente di Tagging AWS Resources and Tag Editor*.
### Correzione
*Per aggiungere tag a uno spazio di chiavi di Amazon Keyspaces, consulta [Aggiungere tag a uno spazio di chiavi nella Amazon Keyspaces](https://docs.aws.amazon.com/keyspaces/latest/devguide/Tagging.Operations.existing.keyspace.html) Developer Guide.*
# Controlli CSPM Security Hub per Kinesis
Questi AWS Security Hub CSPM controlli valutano il servizio e le risorse Amazon Kinesis.
Questi controlli potrebbero non essere disponibili in tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [Kinesis.1] Gli stream Kinesis devono essere crittografati quando sono inattivi
**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.R5 NIST.800-53.r5 SC-7 SI-7 ( NIST.800-53.r5 SC-26)
**Categoria: Protezione > Protezione** dei dati > Crittografia di data-at-rest
**Gravità:** media
**Tipo di risorsa:** `AWS::Kinesis::Stream`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/kinesis-stream-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/kinesis-stream-encrypted.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se i Kinesis Data Streams sono crittografati a riposo con la crittografia lato server. Questo controllo fallisce se un flusso Kinesis non è crittografato a riposo con la crittografia lato server.
La crittografia lato server è una funzionalità di Amazon Kinesis Data Streams che crittografa automaticamente i dati prima che siano inattivi utilizzando un. AWS KMS key I dati vengono crittografati prima di essere scritti sul livello di archiviazione del flusso Kinesis e vengono decrittografati dopo essere stati recuperati dall'archiviazione. Di conseguenza, i tuoi dati vengono crittografati quando sono inattivi all'interno del servizio Amazon Kinesis Data Streams.
### Correzione
Per informazioni sull'attivazione della crittografia lato server per gli stream Kinesis, vedi [Come posso iniziare](https://docs.aws.amazon.com/streams/latest/dev/getting-started-with-sse.html) con la crittografia lato server? nella *Amazon Kinesis Developer Guide*.
## [Kinesis.2] Gli stream Kinesis devono essere etichettati
**Categoria: Identificazione > Inventario > Etichettatura**
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::Kinesis::Stream`
**AWS Config regola:** `tagged-kinesis-stream` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un flusso di dati di Amazon Kinesis contiene tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se il flusso di dati non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il flusso di dati non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
*Per aggiungere tag a un flusso di dati Kinesis, consulta [Tagging your stream in Amazon Kinesis Data Streams nella Amazon Kinesis Developer Guide](https://docs.aws.amazon.com/streams/latest/dev/tagging.html).*
## [Kinesis.3] I flussi Kinesis devono avere un periodo di conservazione dei dati adeguato
**Gravità:** media
**Tipo di risorsa:** `AWS::Kinesis::Stream`
**Regola AWS Config: ** [https://docs.aws.amazon.com/config/latest/developerguide/kinesis-stream-backup-retention-check.html](https://docs.aws.amazon.com/config/latest/developerguide/kinesis-stream-backup-retention-check.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| minimumBackupRetentionPeriod | Numero minimo di ore di conservazione dei dati. | Stringa | Da 24 a 8760 | 168 |
Questo controllo verifica se un flusso di dati di Amazon Kinesis ha un periodo di conservazione dei dati maggiore o uguale al periodo di tempo specificato. Il controllo fallisce se il periodo di conservazione dei dati è inferiore al periodo di tempo specificato. A meno che non si fornisca un valore di parametro personalizzato per il periodo di conservazione dei dati, Security Hub CSPM utilizza un valore predefinito di 168 ore.
In Kinesis Data Streams, un flusso di dati è una sequenza ordinata di record di dati pensati per essere scritti e letti in tempo reale. I record di dati vengono archiviati temporaneamente in frammenti del tuo stream. Il periodo di tempo dall'aggiunta di un record all'inaccessibilità viene chiamato il periodo di conservazione. Kinesis Data Streams rende quasi immediatamente inaccessibili i record più vecchi del nuovo periodo di conservazione dopo aver ridotto il periodo di conservazione. Ad esempio, modificando il periodo di conservazione da 24 ore a 48 ore significa che i record aggiunti al flusso 23 ore 55 minuti prima sono ancora disponibili dopo 24 ore.
### Correzione
Per modificare il periodo di conservazione dei backup per Kinesis Data Streams[, consulta Modifica del periodo di conservazione dei dati](https://docs.aws.amazon.com/streams/latest/dev/kinesis-extended-retention.html) *nella Amazon Kinesis Data Streams Developer* Guide.
# Controlli CSPM Security Hub per AWS KMS
Questi AWS Security Hub CSPM controlli valutano il servizio AWS Key Management Service (AWS KMS) e le risorse. I controlli potrebbero non essere disponibili in tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [KMS.1] Le politiche gestite dai clienti di IAM non dovrebbero consentire azioni di decrittografia su tutte le chiavi KMS
**Requisiti correlati:** NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), (7),, NIST.800-53.r5 AC-3 (3) NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6
**Categoria:** Protezione > Gestione degli accessi sicuri
**Gravità:** media
**Tipo di risorsa:** `AWS::IAM::Policy`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-customer-policy-blocked-kms-actions.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-customer-policy-blocked-kms-actions.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
+ `blockedActionsPatterns: kms:ReEncryptFrom, kms:Decrypt`(non personalizzabile)
+ `excludePermissionBoundaryPolicy`: `True` (non personalizzabile)
Verifica se la versione predefinita delle policy gestite dai clienti di IAM consente ai responsabili di utilizzare le azioni di AWS KMS decrittografia su tutte le risorse. Il controllo fallisce se la policy è sufficientemente aperta da consentire `kms:ReEncryptFrom` azioni `kms:Decrypt` o azioni su tutte le chiavi KMS.
Il controllo controlla solo le chiavi KMS nell'elemento Resource e non tiene conto di eventuali condizioni nell'elemento Condition di una politica. Inoltre, il controllo valuta le politiche gestite dal cliente sia allegate che non collegate. Non verifica le politiche in linea o AWS le politiche gestite.
Con AWS KMS, puoi controllare chi può utilizzare le tue chiavi KMS e accedere ai tuoi dati crittografati. Le policy IAM definiscono quali azioni un'identità (utente, gruppo o ruolo) può eseguire su quali risorse. Seguendo le migliori pratiche di sicurezza, AWS consiglia di concedere il privilegio minimo. In altre parole, è necessario concedere alle identità solo le `kms:ReEncryptFrom` autorizzazioni `kms:Decrypt` or e solo le chiavi necessarie per eseguire un'operazione. In caso contrario, l'utente potrebbe utilizzare chiavi non appropriate per i dati.
Invece di concedere le autorizzazioni per tutte le chiavi, stabilisci il set minimo di chiavi di cui gli utenti hanno bisogno per accedere ai dati crittografati. Quindi progetta politiche che consentano agli utenti di utilizzare solo quelle chiavi. Ad esempio, non consentite `kms:Decrypt` l'autorizzazione su tutte le chiavi KMS. Consenti invece `kms:Decrypt` solo le chiavi in una particolare regione per il tuo account. Adottando il principio del privilegio minimo, puoi ridurre il rischio di divulgazione involontaria dei tuoi dati.
### Correzione
*Per modificare una policy gestita dai clienti IAM, consulta [Modifica delle policy gestite dai clienti](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html#edit-managed-policy-console) nella Guida per l'utente IAM.* Quando modifichi la tua policy, per il `Resource` campo, fornisci l'Amazon Resource Name (ARN) della chiave o delle chiavi specifiche su cui desideri consentire le azioni di decrittografia.
## [KMS.2] I principali IAM non devono disporre di policy IAM in linea che consentano azioni di decrittografia su tutte le chiavi KMS
**Requisiti correlati:** NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15) NIST.800-53.r5 AC-3, (7),, NIST.800-53.r5 AC-3 (3) NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6
**Categoria:** Protezione > Gestione degli accessi sicuri
**Gravità:** media
**Tipo di risorsa:**
+ `AWS::IAM::Group`
+ `AWS::IAM::Role`
+ `AWS::IAM::User`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/iam-inline-policy-blocked-kms-actions.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-inline-policy-blocked-kms-actions.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
+ `blockedActionsPatterns: kms:ReEncryptFrom, kms:Decrypt`(non personalizzabile)
Questo controllo verifica se le politiche in linea incorporate nelle identità IAM (ruolo, utente o gruppo) consentono le azioni di AWS KMS decrittografia e ricrittografia su tutte le chiavi KMS. Il controllo fallisce se la policy è sufficientemente aperta da consentire azioni `kms:Decrypt` o `kms:ReEncryptFrom` azioni su tutte le chiavi KMS.
Il controllo controlla solo le chiavi KMS nell'elemento Resource e non tiene conto di eventuali condizioni nell'elemento Condition di una politica.
Con AWS KMS, puoi controllare chi può utilizzare le tue chiavi KMS e accedere ai tuoi dati crittografati. Le policy IAM definiscono quali azioni un'identità (utente, gruppo o ruolo) può eseguire su quali risorse. Seguendo le migliori pratiche di sicurezza, AWS consiglia di concedere il privilegio minimo. In altre parole, è necessario concedere alle identità solo le autorizzazioni necessarie e solo le chiavi necessarie per eseguire un'attività. In caso contrario, l'utente potrebbe utilizzare chiavi non appropriate per i dati.
Invece di concedere l'autorizzazione per tutte le chiavi, stabilisci il set minimo di chiavi di cui gli utenti hanno bisogno per accedere ai dati crittografati. Quindi progetta politiche che consentano agli utenti di utilizzare solo quelle chiavi. Ad esempio, non consentite `kms:Decrypt` l'autorizzazione su tutte le chiavi KMS. Consenti invece l'autorizzazione solo su chiavi specifiche in una regione specifica per il tuo account. Adottando il principio del privilegio minimo, puoi ridurre il rischio di divulgazione involontaria dei tuoi dati.
### Correzione
*Per modificare una policy in linea IAM, consulta [Modifica delle policy in linea nella IAM User Guide](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html#edit-inline-policy-console).* Quando modifichi la tua policy, per il `Resource` campo, fornisci l'Amazon Resource Name (ARN) della chiave o delle chiavi specifiche su cui desideri consentire le azioni di decrittografia.
## [KMS.3] AWS KMS keys non deve essere eliminato involontariamente
**Requisiti correlati:** NIST.800-53.r5 SC-1 2, NIST.800-53.r5 SC-1 2 (2)
**Categoria:** Protezione > Protezione dei dati > Protezione dalla cancellazione dei dati
**Severità:** critica
**Tipo di risorsa:** `AWS::KMS::Key`
**AWS Config regola:** `kms-cmk-not-scheduled-for-deletion-2` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:** nessuno
Questo controllo verifica se è prevista l'eliminazione delle chiavi KMS. Il controllo ha esito negativo se è pianificata l'eliminazione di una chiave KMS.
Le chiavi KMS non possono essere recuperate una volta eliminate. I dati crittografati con una chiave KMS sono inoltre permanentemente irrecuperabili se la chiave KMS viene eliminata. *Se i dati importanti sono stati crittografati con una chiave KMS programmata per l'eliminazione, prendi in considerazione la possibilità di decrittografare i dati o di ricrittografarli con una nuova chiave KMS, a meno che tu non stia eseguendo intenzionalmente una cancellazione crittografica.*
Quando si pianifica l'eliminazione di una chiave KMS, viene imposto un periodo di attesa obbligatorio per consentire di annullare l'eliminazione, se è stata pianificata per errore. Il periodo di attesa predefinito è di 30 giorni, ma può essere ridotto a soli 7 giorni se è pianificata l'eliminazione della chiave KMS. Durante il periodo di attesa, l'eliminazione pianificata può essere annullata e la chiave KMS non verrà eliminata.
*Per ulteriori informazioni sull'eliminazione delle chiavi KMS, consulta [Eliminazione](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys.html) delle chiavi KMS nella Guida per gli sviluppatori.AWS Key Management Service *
### Correzione
*Per annullare l'eliminazione pianificata di una chiave KMS, consulta **Per annullare l'eliminazione di una chiave in Pianificazione e annullamento dell'eliminazione** [delle chiavi](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys-scheduling-key-deletion.html#deleting-keys-scheduling-key-deletion-console) (console) nella Guida per gli sviluppatori.AWS Key Management Service *
## [KMS.4] la rotazione dei tasti dovrebbe essere abilitata AWS KMS
**Requisiti correlati:** benchmark CIS AWS Foundations v5.0.0/3.6, benchmark CIS Foundations v3.0.0/3.6, benchmark CIS AWS Foundations v1.4.0/3.8, benchmark CIS AWS Foundations v1.2.0/2.8, 2, 2 (2), 8 (3), PCI DSS AWS v3.2.1/3.6.4, NIST.800-53.r5 SC-1 PCI DSS v4.0.1/3.7.4 NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2
**Categoria:** Protezione > Protezione dei dati > Crittografia di data-at-rest
**Gravità:** media
**Tipo di risorsa:** `AWS::KMS::Key`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cmk-backing-key-rotation-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cmk-backing-key-rotation-enabled.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
AWS KMS consente ai clienti di ruotare la chiave di supporto, che è materiale chiave memorizzato AWS KMS ed è legato all'ID della chiave KMS. È la chiave di supporto utilizzata per eseguire operazioni di crittografia, ad esempio la crittografia e la decrittografia. Al momento, la rotazione automatica delle chiavi conserva tutte le chiavi di supporto precedenti, in modo che la decrittografia di dati crittografati possa essere eseguita in modo trasparente.
CIS consiglia di abilitare la rotazione delle chiavi KMS. La rotazione delle chiavi di crittografia consente di ridurre l'impatto potenziale di una chiave compromessa perché i dati crittografati con una nuova chiave non sono accessibili con una chiave precedente che potrebbe essere stata esposta.
### Correzione
*Per abilitare la rotazione delle chiavi KMS, vedi [Come abilitare e disabilitare la rotazione automatica delle chiavi nella Guida per](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html#rotating-keys-enable-disable) gli AWS Key Management Service sviluppatori.*
## [KMS.5] Le chiavi KMS non devono essere accessibili al pubblico
**Categoria:** Protezione > Configurazione sicura della rete > Risorse non accessibili al pubblico
**Severità:** critica
**Tipo di risorsa:** `AWS::KMS::Key`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/kms-key-policy-no-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/kms-key-policy-no-public-access.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un AWS KMS key è accessibile pubblicamente. Il controllo fallisce se la chiave KMS è accessibile pubblicamente.
L'implementazione dell'accesso con privilegi minimi è fondamentale per ridurre i rischi per la sicurezza e l'impatto di errori o intenzioni malevole. Se la policy chiave di an AWS KMS key consente l'accesso da account esterni, terze parti potrebbero essere in grado di crittografare e decrittografare i dati utilizzando la chiave. Ciò potrebbe comportare una minaccia interna o esterna che esfiltra i dati da Servizi AWS chi utilizza la chiave.
**Nota**
Questo controllo restituisce inoltre un `FAILED` risultato che indica AWS KMS key se le configurazioni in uso AWS Config impediscono di registrare la politica della chiave nell'elemento di configurazione (CI) per la chiave KMS. AWS Config Per compilare la policy chiave nella CI per la chiave KMS, il [AWS Config ruolo](https://docs.aws.amazon.com/config/latest/developerguide/gs-cli-prereq.html#gs-cli-create-iamrole) deve avere accesso alla lettura della policy chiave utilizzando la chiamata API. [GetKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html) Per risolvere questo tipo di `FAILED` risultato, verifica le politiche che possono impedire al AWS Config ruolo di accedere in lettura alla politica chiave per la chiave KMS. Ad esempio, controlla quanto segue:
La politica chiave per la chiave KMS.
[Politiche di controllo del servizio (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) e [politiche di controllo delle risorse (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) AWS Organizations che si applicano al tuo account.
Autorizzazioni per il AWS Config ruolo, se non si utilizza il ruolo collegato al [AWS Config servizio](https://docs.aws.amazon.com/config/latest/developerguide/using-service-linked-roles.html).
Inoltre, questo controllo non valuta le condizioni delle policy che utilizzano caratteri jolly o variabili. Per produrre un `PASSED` risultato, le condizioni nella policy chiave devono utilizzare solo valori fissi, ossia valori che non contengono caratteri jolly o variabili di policy. Per informazioni sulle variabili di policy, consulta [Variabili e tag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) nella *Guida per l'AWS Identity and Access Management utente*.
### Correzione
Per informazioni sull'aggiornamento della politica chiave per un AWS KMS key, consulta [le politiche chiave AWS KMS nella](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-overview) *Guida per gli AWS Key Management Service sviluppatori*.
# Controlli CSPM Security Hub per AWS Lambda
Questi AWS Security Hub CSPM controlli valutano il AWS Lambda servizio e le risorse. I controlli potrebbero non essere disponibili in tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [Lambda.1] Le politiche delle funzioni Lambda dovrebbero vietare l'accesso pubblico
**Requisiti correlati:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21), (11) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (16) NIST.800-53.r5 AC-6, (20) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS versione 3.2.1/1.2.1, NIST.800-53.r5 SC-7 PCI DSS versione 3.2.1/1.3.1, PCI DSS versione 3.2.1/1.3.2, PCI DSS versione 3.2.1/1.3.4, PCI DSS versione 3.2.1/1.3.4, PCI DSS versione 3.2.1/1.3.4 2.1/7.2.1, PCI DSS versione 4.0.1/7.2.1 NIST.800-53.r5 SC-7
**Categoria:** Protezione > Configurazione di rete protetta
**Severità:** critica
**Tipo di risorsa:** `AWS::Lambda::Function`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-public-access-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-public-access-prohibited.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se la politica basata sulle risorse della funzione Lambda proibisce l'accesso pubblico all'esterno dell'account. Il controllo fallisce se è consentito l'accesso pubblico. Il controllo fallisce anche se una funzione Lambda viene richiamata da Amazon S3 e la policy non include una condizione per limitare l'accesso pubblico, ad esempio. `AWS:SourceAccount` Ti consigliamo di utilizzare altre condizioni S3 oltre alla tua policy sui bucket per un accesso più preciso. `AWS:SourceAccount`
**Nota**
Questo controllo non valuta le condizioni delle policy che utilizzano caratteri jolly o variabili. Per produrre un `PASSED` risultato, le condizioni nella policy per la funzione Lambda devono utilizzare solo valori fissi, ossia valori che non contengono caratteri jolly o variabili di policy. Per informazioni sulle variabili di policy, consulta [Variabili e tag nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) per l'*AWS Identity and Access Management utente*.
La funzione Lambda non dovrebbe essere accessibile al pubblico, in quanto ciò potrebbe consentire l'accesso involontario al codice della funzione.
### Correzione
Per risolvere questo problema, è necessario aggiornare la politica basata sulle risorse della funzione per rimuovere le autorizzazioni o aggiungere la condizione. `AWS:SourceAccount` Puoi aggiornare la policy basata sulle risorse solo dall'API Lambda o. AWS CLI
Per iniziare, [consulta la policy basata sulle risorse sulla console](https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html) Lambda. Identifica la dichiarazione politica con valori di `Principal` campo che rendono pubblica la policy, ad esempio o. `"*"` `{ "AWS": "*" }`
Non è possibile modificare la policy dalla console. Per rimuovere le autorizzazioni dalla funzione, esegui il [https://docs.aws.amazon.com/cli/latest/reference/lambda/remove-permission.html](https://docs.aws.amazon.com/cli/latest/reference/lambda/remove-permission.html)comando da. AWS CLI
```
$ aws lambda remove-permission --function-name --statement-id
```
Sostituisci `` con il nome della funzione Lambda e `` con l'istruzione ID (`Sid`) dell'istruzione che desideri rimuovere.
## [Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati
**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2 (2), NIST.800-53.r5 SI-2 (4), NIST.800-53.r5 SI-2 (5), PCI DSS v4.0.1/12.3.4
**Categoria:** Protezione > Sviluppo protetto
**Gravità:** media
**Tipo di risorsa:** `AWS::Lambda::Function`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-settings-check.html](https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-settings-check.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
+ `runtime`: `dotnet10, dotnet8, java25, java21, java17, java11, java8.al2, nodejs24.x, nodejs22.x, nodejs20.x, python3.14, python3.13, python3.12, python3.11, python3.10, ruby3.4, ruby3.3` (non personalizzabile)
Questo controllo verifica se le impostazioni di runtime della AWS Lambda funzione corrispondono ai valori previsti impostati per i runtime supportati in ogni lingua. Il controllo fallisce se la funzione Lambda non utilizza un runtime supportato, come indicato nella sezione Parametri. Security Hub CSPM ignora le funzioni che hanno un tipo di pacchetto di. `Image`
I runtime Lambda si basano su una combinazione di sistema operativo, linguaggio di programmazione e librerie software soggette a manutenzione e aggiornamenti di sicurezza. Quando un componente di runtime non è più supportato per gli aggiornamenti di sicurezza, Lambda rende obsoleto il runtime. Anche se non è possibile creare funzioni che utilizzano il runtime obsoleto, la funzione è comunque disponibile per elaborare gli eventi di invocazione. Ti consigliamo di assicurarti che le tue funzioni Lambda siano aggiornate e non utilizzino ambienti di runtime obsoleti. *Per un elenco dei runtime supportati, consulta i runtime [Lambda](https://docs.aws.amazon.com/lambda/latest/dg/lambda-runtimes.html) nella AWS Lambda Developer Guide.*
### Correzione
*Per ulteriori informazioni sui runtime e sulle pianificazioni di obsolescenza supportati, consulta la politica di deprecazione del [runtime](https://docs.aws.amazon.com/lambda/latest/dg/runtime-support-policy.html) nella Developer Guide.AWS Lambda * Quando esegui la migrazione dei runtime alla versione più recente, segui la sintassi e le indicazioni fornite dagli editori del linguaggio. Consigliamo inoltre di applicare [gli aggiornamenti di runtime](https://docs.aws.amazon.com/lambda/latest/dg/runtimes-update.html#runtime-management-controls) per ridurre il rischio di impatto sui carichi di lavoro nel raro caso di incompatibilità di una versione di runtime.
## [Lambda.3] Le funzioni Lambda devono trovarsi in un VPC
**Requisiti correlati:** PCI DSS versione 3.2.1/1.2.1, PCI DSS versione 3.2.1/1.3.1, PCI DSS versione 3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7), (21), NIST.800-53.r5 AC-3, (11), (16) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (20) NIST.800-53.r5 AC-6, (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
**Categoria:** Protezione > Configurazione di rete protetta
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::Lambda::Function`
**AWS Config regola: [https://docs.aws.amazon.com/config/latest/developerguide/lambda-inside-vpc.html](https://docs.aws.amazon.com/config/latest/developerguide/lambda-inside-vpc.html)**
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se una funzione Lambda è implementata in un cloud privato virtuale (VPC). Il controllo fallisce se la funzione Lambda non è distribuita in un VPC. Security Hub CSPM non valuta la configurazione del routing della sottorete VPC per determinare la raggiungibilità pubblica. È possibile che vengano visualizzati risultati non riusciti per le risorse Lambda @Edge.
L'implementazione di risorse in un VPC rafforza la sicurezza e il controllo sulle configurazioni di rete. Tali implementazioni offrono anche scalabilità e un'elevata tolleranza agli errori in più zone di disponibilità. È possibile personalizzare le implementazioni VPC per soddisfare diversi requisiti applicativi.
### Correzione
*Per configurare una funzione esistente per la connessione a sottoreti private nel tuo VPC, consulta Configuring [VPC](https://docs.aws.amazon.com/lambda/latest/dg/configuration-vpc.html#vpc-configuring) access nella Developer Guide.AWS Lambda * Consigliamo di scegliere almeno due sottoreti private per un'elevata disponibilità e almeno un gruppo di sicurezza che soddisfi i requisiti di connettività della funzione.
## [Lambda.5] Le funzioni VPC Lambda devono funzionare in più zone di disponibilità
**Requisiti correlati:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
**Categoria: Recupero > Resilienza > Alta disponibilità**
**Gravità:** media
**Tipo di risorsa:** `AWS::Lambda::Function`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/lambda-vpc-multi-az-check.html](https://docs.aws.amazon.com/config/latest/developerguide/lambda-vpc-multi-az-check.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| `availabilityZones` | Numero minimo di zone di disponibilità | Enum | `2, 3, 4, 5, 6` | `2` |
Questo controllo verifica se una AWS Lambda funzione che si connette a un cloud privato virtuale (VPC) opera almeno nel numero specificato di Availability Zone (AZs). Il controllo fallisce se la funzione non funziona almeno nel numero specificato di AZs. A meno che non si fornisca un valore di parametro personalizzato per il numero minimo di AZs, Security Hub CSPM utilizza un valore predefinito pari a due. AZs
La distribuzione di risorse su più risorse AZs è una AWS best practice per garantire un'elevata disponibilità all'interno dell'architettura. La disponibilità è un pilastro fondamentale del modello di sicurezza della triade di riservatezza, integrità e disponibilità. Tutte le funzioni Lambda che si connettono a un VPC devono disporre di un'implementazione Multi-AZ per garantire che una singola zona di errore non provochi un'interruzione totale delle operazioni.
### Correzione
Se configuri la funzione per la connessione a un VPC nel tuo account, specifica le sottoreti in più sottoreti AZs per garantire un'elevata disponibilità. Per istruzioni, consulta [Configurazione dell'accesso al VPC](https://docs.aws.amazon.com/lambda/latest/dg/configuration-vpc.html#vpc-configuring) nella Guida per *AWS Lambda gli* sviluppatori.
Lambda esegue automaticamente altre funzioni in più parti AZs per garantire che sia disponibile per elaborare gli eventi in caso di interruzione del servizio in una singola zona.
## [Lambda.6] Le funzioni Lambda devono essere etichettate
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::Lambda::Function`
**AWS Config regola:** `tagged-lambda-function` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | No default value |
Questo controllo verifica se una AWS Lambda funzione ha tag con i tasti specifici definiti nel parametro. `requiredTagKeys` Il controllo fallisce se la funzione non ha alcuna chiave tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave tag e fallisce se la funzione non è etichettata con alcun tasto. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
*Per aggiungere tag a una funzione Lambda, consulta [Using tags on Lambda functions](https://docs.aws.amazon.com/lambda/latest/dg/configuration-tags.html) nella Developer Guide.AWS Lambda *
## [Lambda.7] Le funzioni Lambda dovrebbero avere la traccia attiva abilitata AWS X-Ray
**Requisiti correlati:** NIST.800-53.r5 CA-7
**Categoria:** Identificazione > Registrazione
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::Lambda::Function`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-xray-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-xray-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se active tracing with AWS X-Ray è abilitato per una AWS Lambda funzione. Il controllo fallisce se il tracciamento attivo con X-Ray è disabilitato per la funzione Lambda.
AWS X-Ray può fornire funzionalità di tracciamento e monitoraggio delle AWS Lambda funzioni, che possono far risparmiare tempo e fatica nel debug e nell'utilizzo delle funzioni Lambda. Può aiutarti a diagnosticare gli errori e identificare rallentamenti, timeout e rallentamenti delle prestazioni suddividendo la latenza per le funzioni Lambda. Può anche aiutare con i requisiti di privacy e conformità dei dati. Se abiliti il tracciamento attivo per una funzione Lambda, X-Ray fornisce una visione olistica del flusso e dell'elaborazione dei dati all'interno della funzione Lambda, che può aiutarti a identificare potenziali vulnerabilità di sicurezza o pratiche di gestione dei dati non conformi. Questa visibilità può aiutarvi a mantenere l'integrità, la riservatezza e la conformità dei dati alle normative pertinenti.
**Nota**
AWS X-Ray il tracciamento non è attualmente supportato per le funzioni Lambda con Amazon Managed Streaming for Apache Kafka (Amazon MSK), Apache Kafka autogestito, Amazon MQ con ActiveMQ e RabbitMQ o mappature delle sorgenti di eventi Amazon DocumentDB.
### Correzione
*Per informazioni sull'abilitazione del tracciamento attivo per una AWS Lambda funzione, consulta [Visualizza le chiamate alla funzione Lambda utilizzando nella Guida per gli sviluppatori](https://docs.aws.amazon.com/lambda/latest/dg/services-xray.html). AWS X-RayAWS Lambda *
# Controlli CSPM Security Hub per Macie
Questi AWS Security Hub CSPM controlli valutano il servizio Amazon Macie.
Questi controlli potrebbero non essere disponibili in tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [Macie.1] Amazon Macie dovrebbe essere abilitato
**Requisiti correlati:** NIST.800-53.r5 CA-7, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 SA-8 (19) NIST.800-53.r5 RA-5, NIST.800-53.r5 SI-4
**Categoria:** Rilevamento > Servizi di rilevamento
**Gravità:** media
**Tipo di risorsa:** `AWS::::Account`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/macie-status-check.html](https://docs.aws.amazon.com/config/latest/developerguide/macie-status-check.html)
**Tipo di pianificazione:** periodica
Questo controllo verifica se Amazon Macie è abilitato per un account. Il controllo fallisce se Macie non è abilitato per l'account.
Amazon Macie rileva i dati sensibili utilizzando l'apprendimento automatico e il pattern matching, fornisce visibilità sui rischi per la sicurezza dei dati e abilita la protezione automatizzata contro tali rischi. Macie valuta automaticamente e continuamente i bucket Amazon Simple Storage Service (Amazon S3) per la sicurezza e il controllo degli accessi e genera risultati per informarti di potenziali problemi con la sicurezza o la privacy dei tuoi dati Amazon S3. Macie automatizza anche l'individuazione e la segnalazione di dati sensibili, come le informazioni di identificazione personale (PII), per fornirti una migliore comprensione dei dati archiviati in Amazon S3. Per ulteriori informazioni, consulta la Guida per l'[https://docs.aws.amazon.com/macie/latest/user/what-is-macie.html](https://docs.aws.amazon.com/macie/latest/user/what-is-macie.html).
### Correzione
Per abilitare Macie, consulta [Enable Macie nella Guida](https://docs.aws.amazon.com/macie/latest/user/getting-started.html#enable-macie) per l'utente di *Amazon Macie*.
## [Macie.2] Il rilevamento automatico dei dati sensibili di Macie deve essere abilitato
**Requisiti correlati:** NIST.800-53.r5 CA-7, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 SA-8 (19) NIST.800-53.r5 RA-5, NIST.800-53.R5 SI-4
**Categoria:** Rilevamento > Servizi di rilevamento
**Gravità:** alta
**Tipo di risorsa:** `AWS::::Account`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/macie-auto-sensitive-data-discovery-check.html](https://docs.aws.amazon.com/config/latest/developerguide/macie-auto-sensitive-data-discovery-check.html)
**Tipo di pianificazione:** periodica
Questo controllo verifica se il rilevamento automatico di dati sensibili è abilitato per un account amministratore di Amazon Macie. Il controllo fallisce se il rilevamento automatico di dati sensibili non è abilitato per un account amministratore Macie. Questo controllo si applica solo agli account amministratore.
Macie automatizza il rilevamento e il reporting di dati sensibili, come le informazioni di identificazione personale (PII), nei bucket Amazon Simple Storage Service (Amazon S3). Grazie al rilevamento automatico dei dati sensibili, Macie valuta continuamente l'inventario dei bucket e utilizza tecniche di campionamento per identificare e selezionare oggetti S3 rappresentativi dai bucket. Macie analizza quindi gli oggetti selezionati, ispezionandoli alla ricerca di dati sensibili. Man mano che l'analisi procede, Macie aggiorna le statistiche, i dati di inventario e altre informazioni che fornisce sui dati S3. Macie genera anche risultati per segnalare i dati sensibili che trova.
### Correzione
Per creare e configurare processi automatici di rilevamento di dati sensibili per analizzare oggetti nei bucket S3, consulta [Configurazione del rilevamento automatico di dati sensibili per il tuo account nella Guida per](https://docs.aws.amazon.com/macie/latest/user/discovery-asdd-account-manage.html) l'utente di *Amazon* Macie.
# Controlli CSPM del Security Hub per Amazon MSK
Questi AWS Security Hub CSPM controlli valutano il servizio e le risorse Amazon Managed Streaming for Apache Kafka (Amazon MSK). I controlli potrebbero non essere disponibili tutti. Regioni AWS Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [MSK.1] I cluster MSK devono essere crittografati durante il transito tra i nodi del broker
**Requisiti correlati:** NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3 (3), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-7 (1), NIST.800-53.r5 SC-8 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 PCI DSS v4.0.1/4.2.1
**Categoria: Protezione > Protezione dei dati > Crittografia** di data-in-transit
**Gravità:** media
**Tipo di risorsa:** `AWS::MSK::Cluster`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/msk-in-cluster-node-require-tls.html](https://docs.aws.amazon.com/config/latest/developerguide/msk-in-cluster-node-require-tls.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un cluster Amazon MSK è crittografato in transito con HTTPS (TLS) tra i nodi broker del cluster. Il controllo fallisce se la comunicazione in testo semplice è abilitata per una connessione al nodo del broker del cluster.
HTTPS offre un ulteriore livello di sicurezza in quanto utilizza TLS per spostare i dati e può essere utilizzato per impedire a potenziali aggressori di utilizzare person-in-the-middle o simili attacchi per intercettare o manipolare il traffico di rete. Per impostazione predefinita, Amazon MSK crittografa i dati in transito con TLS. Tuttavia, puoi ignorare questa impostazione predefinita al momento della creazione del cluster. Consigliamo di utilizzare connessioni crittografate tramite HTTPS (TLS) per le connessioni ai nodi del broker.
### Correzione
Per informazioni sull'aggiornamento delle impostazioni di crittografia per un cluster Amazon MSK, consulta [Updating security settings of a cluster](https://docs.aws.amazon.com/msk/latest/developerguide/msk-update-security.html) nella *Amazon Managed Streaming for Apache Kafka Developer Guide*.
## [MSK.2] I cluster MSK dovrebbero avere configurato un monitoraggio avanzato
Requisiti **correlati**:, NIST.800-53.R5 SI-2 NIST.800-53.r5 CA-7
**Categoria:** Rilevamento > Servizi di rilevamento
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::MSK::Cluster`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/msk-enhanced-monitoring-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/msk-enhanced-monitoring-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un cluster Amazon MSK ha configurato il monitoraggio avanzato, specificato da un livello di monitoraggio di almeno`PER_TOPIC_PER_BROKER`. Il controllo fallisce se il livello di monitoraggio per il cluster è impostato su `DEFAULT` o`PER_BROKER`.
Il livello di `PER_TOPIC_PER_BROKER` monitoraggio fornisce informazioni più dettagliate sulle prestazioni del cluster MSK e fornisce anche metriche relative all'utilizzo delle risorse, come l'utilizzo della CPU e della memoria. Ciò consente di identificare i punti deboli in termini di prestazioni e i modelli di utilizzo delle risorse per singoli argomenti e broker. Questa visibilità, a sua volta, può ottimizzare le prestazioni dei vostri broker Kafka.
### Correzione
Per configurare il monitoraggio avanzato per un cluster MSK, completa i seguenti passaggi:
1. Aprire la console Amazon MSK a [https://console.aws.amazon.com/msk/casa? region=us-east-1\$1/home/.](https://console.aws.amazon.com/msk/home?region=us-east-1#/home/)
1. Nel pannello di navigazione scegliere **Cluster**. Quindi, scegli un cluster.
1. Per **Azione**, seleziona **Modifica monitoraggio**.
1. Seleziona l'opzione per il monitoraggio **avanzato a livello di argomento**.
1. Scegli **Save changes** (Salva modifiche).
Per ulteriori informazioni sui livelli di monitoraggio, consulta i [parametri di Amazon MSK per il monitoraggio dei broker Standard CloudWatch](https://docs.aws.amazon.com/msk/latest/developerguide/metrics-details.html) nella *Amazon Managed Streaming for Apache Kafka Developer Guide*.
## [MSK.3] I connettori MSK Connect devono essere crittografati in transito
**Requisiti correlati**: PCI DSS v4.0.1/4.2.1
**Categoria: Protezione > Protezione dei dati > Crittografia** di data-in-transit
**Gravità:** media
**Tipo di risorsa:** `AWS::KafkaConnect::Connector`
**AWS Config regola:** `msk-connect-connector-encrypted` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:** nessuno
Questo controllo verifica se un connettore Amazon MSK Connect è crittografato in transito. Questo controllo fallisce se il connettore non è crittografato in transito.
I dati in transito si riferiscono ai dati che si spostano da una posizione all'altra, ad esempio tra i nodi del cluster o tra il cluster e l'applicazione. I dati possono spostarsi su Internet o all'interno di una rete privata. La crittografia dei dati in transito riduce il rischio che un utente non autorizzato possa intercettare il traffico di rete.
### Correzione
È possibile abilitare la crittografia in transito quando si crea un connettore MSK Connect. Non è possibile modificare le impostazioni di crittografia dopo aver creato un connettore. Per ulteriori informazioni, consulta [Creare un connettore](https://docs.aws.amazon.com/msk/latest/developerguide/mkc-create-connector-intro.html) nella *Amazon Managed Streaming for Apache Kafka Developer Guide*.
## [MSK.4] L'accesso pubblico ai cluster MSK dovrebbe essere disabilitato
**Categoria:** Protezione > Gestione sicura degli accessi > Risorsa non accessibile al pubblico
**Severità:** critica
**Tipo di risorsa:** `AWS::MSK::Cluster`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/msk-cluster-public-access-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/msk-cluster-public-access-disabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se l'accesso pubblico è disabilitato per un cluster Amazon MSK. Il controllo fallisce se l'accesso pubblico è abilitato per il cluster MSK.
Per impostazione predefinita, i client possono accedere a un cluster Amazon MSK solo se si trovano nello stesso VPC del cluster. Tutte le comunicazioni tra i client Kafka e un cluster MSK sono private per impostazione predefinita e i dati in streaming non attraversano Internet. Tuttavia, se un cluster MSK è configurato per consentire l'accesso pubblico, chiunque su Internet può stabilire una connessione ai broker Apache Kafka in esecuzione all'interno del cluster. Ciò può portare a problemi come l'accesso non autorizzato, la violazione dei dati o lo sfruttamento delle vulnerabilità. Se si limita l'accesso a un cluster richiedendo misure di autenticazione e autorizzazione, è possibile proteggere le informazioni sensibili e mantenere l'integrità delle risorse.
### Correzione
Per informazioni sulla gestione dell'accesso pubblico a un cluster Amazon MSK, consulta [Turn on public access to an MSK Provisioned cluster](https://docs.aws.amazon.com/msk/latest/developerguide/public-access.html) nella *Amazon Managed Streaming for Apache Kafka Developer Guide*.
## [MSK.5] I connettori MSK devono avere la registrazione abilitata
**Categoria:** Identificazione > Registrazione
**Gravità:** media
**Tipo di risorsa:** `AWS::KafkaConnect::Connector`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/msk-connect-connector-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/msk-connect-connector-logging-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se la registrazione è abilitata per un connettore Amazon MSK. Il controllo fallisce se la registrazione è disabilitata per il connettore MSK.
I connettori Amazon MSK integrano sistemi esterni e servizi Amazon con Apache Kafka copiando continuamente i dati in streaming da una fonte di dati in un cluster Apache Kafka o copiando continuamente i dati da un cluster in un data sink. MSK Connect può scrivere eventi di registro che possono aiutare a eseguire il debug di un connettore. Quando crei un connettore, puoi specificare zero o più delle seguenti destinazioni di log: Amazon CloudWatch Logs, Amazon S3 e Amazon Data Firehose.
**Nota**
Se un plug-in non definisce i valori di configurazione sensibili come segreti, tali valori possono apparire nei log dei connettori. Kafka Connect tratta i valori di configurazione non definiti allo stesso modo di qualsiasi altro valore non crittografato.
### Correzione
Per abilitare la registrazione per un connettore Amazon MSK esistente, devi ricreare il connettore con la configurazione di registrazione appropriata. Per informazioni sulle opzioni di configurazione, consulta [Logging for MSK Connect](https://docs.aws.amazon.com/msk/latest/developerguide/msk-connect-logging.html) nella *Amazon Managed Streaming for Apache Kafka Developer Guide*.
## [MSK.6] I cluster MSK devono disabilitare l'accesso non autenticato
**Categoria:** Protezione > Gestione sicura degli accessi > Autenticazione senza password
**Gravità:** media
**Tipo di risorsa:** `AWS::MSK::Cluster`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/msk-unrestricted-access-check.html](https://docs.aws.amazon.com/config/latest/developerguide/msk-unrestricted-access-check.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se l'accesso non autenticato è abilitato per un cluster Amazon MSK. Il controllo fallisce se è abilitato l'accesso non autenticato per il cluster MSK.
Amazon MSK supporta i meccanismi di autenticazione e autorizzazione dei client per controllare l'accesso a un cluster. Questi meccanismi verificano l'identità dei client che si connettono al cluster e determinano le azioni che i client possono eseguire. Un cluster MSK può essere configurato per consentire l'accesso non autenticato, il che consente a qualsiasi client con connettività di rete di pubblicare e sottoscrivere argomenti di Kafka senza fornire credenziali. L'esecuzione di un cluster MSK senza richiedere l'autenticazione viola il principio del privilegio minimo e può esporre il cluster ad accessi non autorizzati. Può consentire a qualsiasi client di accedere, modificare o eliminare i dati relativi agli argomenti di Kafka, con conseguenti potenziali violazioni dei dati, modifiche non autorizzate dei dati o interruzioni del servizio. Consigliamo di abilitare meccanismi di autenticazione come l'autenticazione IAM, SASL/SCRAM o il TLS reciproco per garantire un controllo adeguato degli accessi e mantenere la conformità alla sicurezza.
### Correzione
Per informazioni sulla modifica delle impostazioni di autenticazione per un cluster Amazon MSK, consulta le seguenti sezioni della *Amazon Managed Streaming for Apache Kafka Developer [Guide: Aggiornamento delle impostazioni di sicurezza di un [cluster](https://docs.aws.amazon.com/msk/latest/developerguide/kafka_apis_iam.html) Amazon](https://docs.aws.amazon.com/msk/latest/developerguide/msk-update-security.html) MSK e Autenticazione e autorizzazione per* Apache Kafka. APIs
# Controlli CSPM del Security Hub per Amazon MQ
Questi AWS Security Hub CSPM controlli valutano il servizio e le risorse Amazon MQ. I controlli potrebbero non essere disponibili in tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [MQ.2] I broker ActiveMQ devono trasmettere i log di controllo a CloudWatch
**Requisiti correlati:** NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-12, NIST.800-53.r5 SI-4, PCI DSS v4.0.1/10.3.3
**Categoria:** Identificazione > Registrazione
**Gravità:** media
**Tipo di risorsa:** `AWS::AmazonMQ::Broker`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/mq-cloudwatch-audit-log-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/mq-cloudwatch-audit-log-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un broker Amazon MQ ActiveMQ trasmette i log di audit ad Amazon Logs. CloudWatch Il controllo fallisce se il broker non trasmette i log di audit a Logs. CloudWatch
Pubblicando i log del broker ActiveMQ su Logs CloudWatch , è possibile CloudWatch creare allarmi e metriche che aumentano la visibilità delle informazioni relative alla sicurezza.
### Correzione
*Per trasmettere i log del broker ActiveMQ CloudWatch a Logs, consulta Configuring Amazon MQ [for ActiveMQ logs nella Amazon MQ Developer Guide](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/configure-logging-monitoring-activemq.html).*
## [MQ.3] I broker Amazon MQ dovrebbero avere abilitato l'aggiornamento automatico delle versioni secondarie
**Importante**
Security Hub CSPM ha ritirato questo controllo nel gennaio 2026. Per ulteriori informazioni, consulta [Registro delle modifiche per i controlli CSPM di Security Hub](controls-change-log.md).
**Requisiti correlati:** NIST.800-53.r5 CM-3, NIST.800-53.r5 SI-2, PCI DSS v4.0.1/6.3.3
**Categoria**: Identificazione > Gestione di vulnerabilità, patch e versioni
**Gravità:** media
**Tipo di risorsa:** `AWS::AmazonMQ::Broker`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/mq-auto-minor-version-upgrade-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/mq-auto-minor-version-upgrade-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un broker Amazon MQ ha abilitato l'aggiornamento automatico delle versioni secondarie. Il controllo fallisce se il broker non ha abilitato l'aggiornamento automatico della versione secondaria.
Man mano che Amazon MQ rilascia e supporta nuove versioni del motore di brokeraggio, le modifiche sono retrocompatibili con un'applicazione esistente e non compromettono le funzionalità esistenti. Gli aggiornamenti automatici delle versioni del motore di brokeraggio ti proteggono dai rischi per la sicurezza, aiutano a correggere i bug e a migliorare la funzionalità.
**Nota**
Quando il broker associato all'aggiornamento automatico delle versioni secondarie utilizza la patch più recente e non è più supportato, è necessario eseguire l'aggiornamento manualmente.
### Correzione
Per abilitare l'aggiornamento automatico della versione secondaria per un broker MQ, consulta [Aggiornamento automatico della versione secondaria del motore](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/upgrading-brokers.html#upgrading-brokers-automatic-upgrades.html) nella *Amazon MQ Developer* Guide.
## [MQ.4] I broker Amazon MQ devono essere etichettati
**Categoria: Identificazione > Inventario** > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::AmazonMQ::Broker`
**AWS Config regola:** `tagged-amazonmq-broker` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | No default value |
Questo controllo verifica se un broker Amazon MQ dispone di tag con le chiavi specifiche definite nel parametro`requiredTagKeys`. Il controllo fallisce se il broker non dispone di chiavi di tag o se non dispone di tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il broker non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice sull'etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
Per aggiungere tag a un broker Amazon MQ, consulta [Tagging resources](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/amazon-mq-tagging.html) nella *Amazon MQ Developer Guide*.
## [MQ.5] I broker ActiveMQ devono utilizzare la modalità di distribuzione active/standby
**Requisiti correlati:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
**Categoria: Recupero > Resilienza > Alta disponibilità**
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::AmazonMQ::Broker`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/mq-active-deployment-mode.html](https://docs.aws.amazon.com/config/latest/developerguide/mq-active-deployment-mode.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se la modalità di distribuzione per un broker Amazon MQ ActiveMQ è impostata su active/standby. Il controllo fallisce se come modalità di distribuzione è impostato un broker a istanza singola (abilitato per impostazione predefinita).
La distribuzione attiva/standby offre un'elevata disponibilità per i broker Amazon MQ ActiveMQ in un unico ambiente. Regione AWS La modalità di distribuzione attiva/standby include due istanze di broker in due diverse zone di disponibilità, configurate in una coppia ridondante. Questi broker comunicano in modo sincrono con l'applicazione, il che può ridurre i tempi di inattività e la perdita di dati in caso di guasto.
### Correzione
*Per creare un nuovo broker ActiveMQ active/standby con modalità di distribuzione, [consulta Creazione e configurazione di un broker ActiveMQ nella Amazon MQ](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/amazon-mq-creating-configuring-broker.html) Developer Guide.* **Per la modalità di **distribuzione, scegli il broker Active/standby.**** Non è possibile modificare la modalità di distribuzione per un broker esistente. È invece necessario creare un nuovo broker e copiare le impostazioni dal vecchio broker.
## [MQ.6] I broker RabbitMQ dovrebbero utilizzare la modalità di distribuzione del cluster
**Requisiti correlati:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5
**Categoria: Recupero > Resilienza > Alta disponibilità**
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::AmazonMQ::Broker`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/mq-rabbit-deployment-mode.html](https://docs.aws.amazon.com/config/latest/developerguide/mq-rabbit-deployment-mode.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se la modalità di distribuzione per un broker Amazon MQ RabbitMQ è impostata sulla distribuzione in cluster. Il controllo fallisce se come modalità di distribuzione è impostato un broker a istanza singola (abilitato per impostazione predefinita).
La distribuzione in cluster offre un'elevata disponibilità per i broker Amazon MQ RabbitMQ in un unico. Regione AWS L'implementazione del cluster è un raggruppamento logico di tre nodi broker RabbitMQ, ciascuno con il proprio volume Amazon Elastic Block Store (Amazon EBS) e uno stato condiviso. L'implementazione del cluster garantisce la replica dei dati su tutti i nodi del cluster, il che può ridurre i tempi di inattività e la perdita di dati in caso di guasto.
### Correzione
*Per creare un nuovo broker RabbitMQ con modalità di distribuzione cluster, consulta [Creazione e connessione a un broker RabbitMQ nella Amazon MQ Developer](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/getting-started-rabbitmq.html) Guide.* **Per la **modalità di distribuzione**, scegli Distribuzione in cluster.** Non è possibile modificare la modalità di distribuzione per un broker esistente. È invece necessario creare un nuovo broker e copiare le impostazioni dal vecchio broker.
# Controlli CSPM del Security Hub per Neptune
Questi AWS Security Hub CSPM controlli valutano il servizio e le risorse di Amazon Neptune.
Questi controlli potrebbero non essere disponibili tutti. Regioni AWS Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [Neptune.1] I cluster Neptune DB devono essere crittografati a riposo
**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.r5 SC-2 NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-7 (6)
**Categoria: Protezione > Protezione** dei dati > Crittografia di data-at-rest
**Gravità:** media
**Tipo di risorsa:** `AWS::RDS::DBCluster`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-encrypted.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un cluster Neptune DB è crittografato quando è inattivo. Il controllo fallisce se un cluster Neptune DB non è crittografato a riposo.
I dati inattivi si riferiscono a tutti i dati archiviati in uno storage persistente e non volatile per qualsiasi durata. La crittografia aiuta a proteggere la riservatezza di tali dati, riducendo il rischio che un utente non autorizzato possa accedervi. La crittografia dei cluster Neptune DB protegge i dati e i metadati dall'accesso non autorizzato. Soddisfa inoltre i requisiti di conformità per la crittografia dei file system di produzione. data-at-rest
### Correzione
È possibile abilitare la crittografia a riposo quando si crea un cluster Neptune DB. Non è possibile modificare le impostazioni di crittografia dopo aver creato un cluster. *Per ulteriori informazioni, [consulta Encrypting Neptune resources at rest nella Guida per l'utente di Neptune](https://docs.aws.amazon.com/neptune/latest/userguide/encrypt.html).*
## [Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch
**Requisiti correlati:** NIST.800-53.r5 AC-2 (4), NIST.800-53.r5 AC-4 (26), (9), NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 AU-7(1), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-20, NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-4 (5), NIST.800-53.r5 SI-7 (8), PCI DSS v4.0.0 103,3
**Categoria:** Identificazione > Registrazione
**Gravità:** media
**Tipo di risorsa:** `AWS::RDS::DBCluster`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-cloudwatch-log-export-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-cloudwatch-log-export-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un cluster Neptune DB pubblica log di audit su Amazon Logs. CloudWatch Il controllo fallisce se un cluster Neptune DB non pubblica i log di controllo su Logs. CloudWatch `EnableCloudWatchLogsExport`dovrebbe essere impostato su. `Audit`
Amazon Neptune e CloudWatch Amazon sono integrati in modo da poter raccogliere e analizzare i parametri delle prestazioni. Neptune invia automaticamente le metriche e supporta anche gli CloudWatch allarmi. CloudWatch I log di controllo sono altamente personalizzabili. Quando si esegue l'audit di un database, ogni operazione sui dati può essere monitorata e registrata in una pista di controllo, incluse le informazioni su quale cluster di database si accede e in che modo. Ti consigliamo di inviare questi log per aiutarti CloudWatch a monitorare i tuoi cluster Neptune DB.
### Correzione
*Per pubblicare i log di controllo di Neptune su Logs CloudWatch , [consulta Pubblicazione dei log di Neptune su Amazon Logs nella Neptune User Guide. CloudWatch ](https://docs.aws.amazon.com/neptune/latest/userguide/cloudwatch-logs.html)* Nella sezione Esportazioni dei log**,** scegli **Audit**.
## [Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche
**Requisiti correlati:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), (21) NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (11) NIST.800-53.r5 AC-6, (16) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), (9), NIST.800-53.r5 SC-7 PCI DSS NIST.800-53.r5 SC-7 v4.0.1/1.4.4 NIST.800-53.r5 SC-7
**Categoria:** Protezione > Configurazione di rete sicura > Risorse non accessibili al pubblico
**Severità:** critica
**Tipo di risorsa:** `AWS::RDS::DBClusterSnapshot`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-snapshot-public-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-snapshot-public-prohibited.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un'istantanea manuale del cluster DB di Neptune è pubblica. Il controllo fallisce se un'istantanea manuale del cluster DB di Neptune è pubblica.
Un'istantanea manuale del cluster Neptune DB non deve essere pubblica a meno che non sia prevista. Se condividi un'istantanea manuale non crittografata come pubblica, l'istantanea è disponibile per tutti. Account AWS Le istantanee pubbliche possono causare un'esposizione involontaria dei dati.
### Correzione
*Per rimuovere l'accesso pubblico alle istantanee manuali dei cluster DB di Neptune, [consulta Condivisione di un'istantanea del cluster DB](https://docs.aws.amazon.com/neptune/latest/userguide/backup-restore-share-snapshot.html) nella Guida per l'utente di Neptune.*
## [Neptune.4] I cluster Neptune DB devono avere la protezione da eliminazione abilitata
**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), (2) NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5
**Categoria:** Protezione > Protezione dei dati > Protezione dalla cancellazione dei dati
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::RDS::DBCluster`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-deletion-protection-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un cluster Neptune DB ha la protezione da eliminazione abilitata. Il controllo fallisce se un cluster Neptune DB non ha la protezione da eliminazione abilitata.
L'attivazione della protezione da eliminazione del cluster offre un ulteriore livello di protezione contro l'eliminazione accidentale del database o l'eliminazione da parte di un utente non autorizzato. Un cluster Neptune DB non può essere eliminato mentre la protezione da eliminazione è abilitata. È necessario innanzitutto disabilitare la protezione da eliminazione prima che una richiesta di eliminazione possa avere successo.
### Correzione
*Per abilitare la protezione da eliminazione per un cluster Neptune DB esistente, [consulta Modificare il cluster DB utilizzando la console, la CLI e l'API nella](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Modifying.html#Aurora.Modifying.Settings) Guida per l'utente di Amazon Aurora.*
## [Neptune.5] I cluster Neptune DB devono avere i backup automatici abilitati
**Requisiti correlati: NIST.800-53.R5** SI-12
**Categoria: Recupero > Resilienza > Backup abilitati**
**Gravità:** media
**Tipo di risorsa:** `AWS::RDS::DBCluster`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-backup-retention-check.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-backup-retention-check.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| `minimumBackupRetentionPeriod` | Periodo minimo di conservazione dei backup in giorni | Numero intero | `7` Da a `35` | `7` |
Questo controllo verifica se un cluster Neptune DB ha abilitato i backup automatici e un periodo di conservazione dei backup maggiore o uguale al periodo di tempo specificato. Il controllo fallisce se i backup non sono abilitati per il cluster Neptune DB o se il periodo di conservazione è inferiore al periodo di tempo specificato. A meno che non si fornisca un valore di parametro personalizzato per il periodo di conservazione del backup, Security Hub CSPM utilizza un valore predefinito di 7 giorni.
I backup aiutano a ripristinare più rapidamente un incidente di sicurezza e a rafforzare la resilienza dei sistemi. Automatizzando i backup per i cluster Neptune DB, sarete in grado di ripristinare i sistemi in un determinato momento e ridurre al minimo i tempi di inattività e la perdita di dati.
### Correzione
*Per abilitare i backup automatici e impostare un periodo di conservazione dei backup per i cluster Neptune DB, [consulta Enabling automatic backup](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithAutomatedBackups.html#USER_WorkingWithAutomatedBackups.Enabling) nella Amazon RDS User Guide.* Per il **periodo di conservazione del Backup**, scegli un valore maggiore o uguale a 7.
## [Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive
**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.r5 SC-7 (18) NIST.800-53.r5 SC-7
**Categoria:** Proteggi > Protezione dei dati > Crittografia di data-at-rest
**Gravità:** media
**Tipo di risorsa:** `AWS::RDS::DBClusterSnapshot`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-snapshot-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-snapshot-encrypted.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un'istantanea del cluster Neptune DB è crittografata quando è inattiva. Il controllo fallisce se un cluster Neptune DB non è crittografato a riposo.
I dati inattivi si riferiscono a tutti i dati archiviati in uno storage persistente e non volatile per qualsiasi durata. La crittografia consente di proteggere la riservatezza di tali dati, riducendo il rischio che un utente non autorizzato possa accedervi. I dati nelle istantanee dei cluster Neptune DB devono essere crittografati quando sono inattivi per un ulteriore livello di sicurezza.
### Correzione
Non è possibile crittografare uno snapshot del cluster Neptune DB esistente. È invece necessario ripristinare lo snapshot in un nuovo cluster DB e abilitare la crittografia sul cluster. È possibile creare un'istantanea crittografata dal cluster crittografato. *Per istruzioni, consulta [Ripristino da un'istantanea del cluster DB e Creazione di un'istantanea](https://docs.aws.amazon.com/neptune/latest/userguide/backup-restore-restore-snapshot.html) [del cluster DB in Neptune nella Guida per l'utente di Neptune](https://docs.aws.amazon.com/neptune/latest/userguide/backup-restore-create-snapshot.html).*
## [Neptune.7] I cluster Neptune DB devono avere l'autenticazione del database IAM abilitata
**Requisiti correlati:** NIST.800-53.r5 AC-2 (1), (15), NIST.800-53.r5 AC-3 ( NIST.800-53.r5 AC-37), NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6
**Categoria:** Protezione > Gestione sicura degli accessi > Autenticazione senza password
**Gravità:** media
**Tipo di risorsa:** `AWS::RDS::DBCluster`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-iam-database-authentication.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-iam-database-authentication.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un cluster Neptune DB ha l'autenticazione del database IAM abilitata. Il controllo fallisce se l'autenticazione del database IAM non è abilitata per un cluster Neptune DB.
L'autenticazione del database IAM per i cluster di database Amazon Neptune elimina la necessità di memorizzare le credenziali degli utenti all'interno della configurazione del database perché l'autenticazione viene gestita esternamente tramite IAM. Quando l'autenticazione del database IAM è abilitata, ogni richiesta deve essere firmata utilizzando Signature Version 4. AWS
### Correzione
Per impostazione predefinita, l'autenticazione del database IAM è disabilitata quando si crea un cluster Neptune DB. *Per abilitarlo, consulta [Enabling IAM database authentication in Neptune](https://docs.aws.amazon.com/neptune/latest/userguide/iam-auth-enable.html) nella Neptune User Guide.*
## [Neptune.8] I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee
**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2 (2)
**Categoria**: Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::RDS::DBCluster`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-copy-tags-to-snapshot-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-copy-tags-to-snapshot-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un cluster Neptune DB è configurato per copiare tutti i tag nelle istantanee al momento della creazione delle istantanee. Il controllo fallisce se un cluster Neptune DB non è configurato per copiare i tag nelle istantanee.
L'identificazione e l'inventario delle risorse IT sono un aspetto cruciale della governance e della sicurezza. È necessario etichettare gli snapshot nello stesso modo dei relativi cluster di database Amazon RDS principali. La copia dei tag garantisce che i metadati per gli snapshot DB corrispondano a quelli dei cluster di database principali e che le politiche di accesso per lo snapshot DB corrispondano anche a quelle dell'istanza DB principale.
### Correzione
*Per copiare i tag nelle istantanee per i cluster Neptune DB, consulta [Copiare i tag in Neptune nella Guida per l'utente di Neptune](https://docs.aws.amazon.com/neptune/latest/userguide/tagging.html#tagging-overview).*
## [Neptune.9] I cluster Neptune DB devono essere distribuiti su più zone di disponibilità
**Requisiti correlati:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
**Categoria: Recupero > Resilienza > Alta disponibilità**
**Gravità:** media
**Tipo di risorsa:** `AWS::RDS::DBCluster`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-multi-az-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-multi-az-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un cluster Amazon Neptune DB dispone di istanze di replica in lettura in più zone di disponibilità (). AZs Il controllo fallisce se il cluster viene distribuito in una sola AZ.
Se una AZ non è disponibile e durante gli eventi di manutenzione regolari, le repliche di lettura fungono da destinazioni di failover per l'istanza principale. Pertanto, se si verifica un errore nell'istanza primaria, Neptune promuove un'istanza di replica di lettura a diventare l'istanza primaria. Al contrario, se il cluster database non include istanze di replica di lettura, il cluster database rimane non disponibile quando l'istanza primaria ha esito negativo finché non viene ricreata. La ricreazione dell'istanza primaria richiede molto più tempo rispetto alla promozione di un'istanza di replica di lettura. Per garantire un'elevata disponibilità, si consiglia di creare una o più istanze di replica di lettura che abbiano la stessa classe di istanza DB dell'istanza principale e si trovino in un'istanza diversa dall'istanza principale. AZs
### Correzione
*Per implementare un cluster Neptune DB in più, [consulta Istanze DB AZs Read-Replica in un cluster Neptune DB nella Guida per l'utente di Neptune](https://docs.aws.amazon.com/neptune/latest/userguide/feature-overview-db-clusters.html#feature-overview-read-replicas).*
# Controlli CSPM Security Hub per AWS Network Firewall
Questi AWS Security Hub CSPM controlli valutano il AWS Network Firewall servizio e le risorse. I controlli potrebbero non essere disponibili in tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [NetworkFirewall.1] I firewall Network Firewall devono essere distribuiti su più zone di disponibilità
**Requisiti correlati:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
**Categoria: Recupero > Resilienza > Alta disponibilità**
**Gravità:** media
**Tipo di risorsa:** `AWS::NetworkFirewall::Firewall`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-multi-az-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-multi-az-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo valuta se un firewall gestito tramite AWS Network Firewall viene distribuito su più zone di disponibilità (). AZs Il controllo fallisce se un firewall viene distribuito in una sola zona di disponibilità.
AWS l'infrastruttura globale ne include diverse Regioni AWS. AZs sono sedi fisicamente separate e isolate all'interno di ciascuna regione, collegate tramite reti a bassa latenza, ad alto throughput e altamente ridondanti. Implementando un firewall Network Firewall su più server AZs, è possibile bilanciare e spostare il traffico da uno all'altro AZs, il che aiuta a progettare soluzioni ad alta disponibilità.
### Correzione
**Implementazione di un firewall Network Firewall su più reti AZs**
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Nel riquadro di navigazione, in **Network Firewall**, scegli **Firewall**.
1. Nella pagina **Firewall**, seleziona il firewall che desideri modificare.
1. Nella pagina dei dettagli del firewall, scegli la scheda **Dettagli del firewall**.
1. **Nella sezione **Politica associata e VPC**, scegli Modifica**
1. Per aggiungere una nuova AZ, scegli **Aggiungi nuova sottorete**. Seleziona la AZ e la sottorete che desideri utilizzare. Assicurati di selezionarne almeno due AZs.
1. Scegli **Save** (Salva).
## [NetworkFirewall.2] La registrazione del Network Firewall deve essere abilitata
**Requisiti correlati:** NIST.800-53.r5 AC-2 (12), (4), NIST.800-53.r5 AC-2 (26), (9), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 SI-3 NIST.800-53.r5 AC-6 (8), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7 NIST.800-53.r5 SI-4, NIST.800-53.r5 SI-4 NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SI-7 (8), NIST.800-171.r2 3.1.20, NIST.800-171.20, NIST.800-171.20, NIST.800-171.20, NIST.800-171.20, NIST.800-171.20 R2 3,13.1
**Categoria:** Identificazione > Registrazione
**Gravità:** media
**Tipo di risorsa:** `AWS::NetworkFirewall::LoggingConfiguration`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-logging-enabled.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se la registrazione è abilitata per un AWS Network Firewall firewall. Il controllo fallisce se la registrazione non è abilitata per almeno un tipo di registro o se la destinazione di registrazione non esiste.
La registrazione consente di mantenere l'affidabilità, la disponibilità e le prestazioni dei firewall. In Network Firewall, la registrazione fornisce informazioni dettagliate sul traffico di rete, tra cui l'ora in cui lo stateful engine ha ricevuto un flusso di pacchetti, informazioni dettagliate sul flusso di pacchetti e qualsiasi azione basata sullo stateful rule intrapresa contro il flusso di pacchetti.
### Correzione
*Per abilitare la registrazione per un firewall, consulta [Aggiornamento della configurazione di registrazione di un firewall nella Guida per gli sviluppatori](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-update-logging-configuration.html).AWS Network Firewall *
## [NetworkFirewall.3] Le policy di Network Firewall devono avere almeno un gruppo di regole associato
**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-171.r2 3.1.3, NIST.800-171.r2 3.13.1
**Categoria**: Protezione > Configurazione di rete sicura
**Gravità:** media
**Tipo di risorsa:** `AWS::NetworkFirewall::FirewallPolicy`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-rule-group-associated.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-rule-group-associated.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se a una policy Network Firewall sono associati gruppi di regole stateful o stateless. Il controllo ha esito negativo se non vengono assegnati gruppi di regole stateless o stateful.
Una policy firewall definisce il modo in cui il firewall monitora e gestisce il traffico in Amazon Virtual Private Cloud (Amazon VPC). La configurazione di gruppi di regole stateless e stateful aiuta a filtrare pacchetti e flussi di traffico e definisce la gestione del traffico predefinita.
### Correzione
Per aggiungere un gruppo di regole a una policy Network Firewall, vedere [Aggiornamento di una policy firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policy-updating.html) nella *AWS Network Firewall Developer Guide*. Per informazioni sulla creazione e la gestione dei gruppi di regole, consulta [Gruppi di regole in AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/rule-groups.html).
## [NetworkFirewall.4] L'azione stateless predefinita per le policy del Network Firewall dovrebbe essere drop or forward per pacchetti completi
**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2
**Categoria**: Protezione > Configurazione di rete sicura
**Gravità:** media
**Tipo di risorsa:** `AWS::NetworkFirewall::FirewallPolicy`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-default-action-full-packets.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-default-action-full-packets.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
+ `statelessDefaultActions: aws:drop,aws:forward_to_sfe`(non personalizzabile)
Questo controllo verifica se l'azione stateless predefinita per pacchetti completi per una policy Network Firewall è drop o forward. Il controllo passa se è selezionato `Drop` o `Forward` è selezionato e fallisce se `Pass` è selezionato.
Una policy firewall definisce il modo in cui il firewall monitora e gestisce il traffico in Amazon VPC. Puoi configurare gruppi di regole stateless e stateful per filtrare pacchetti e flussi di traffico. L'impostazione predefinita è in grado `Pass` di consentire il traffico non intenzionale.
### Correzione
*Per modificare la politica del firewall, consulta [Aggiornamento di una politica del firewall nella Guida per gli sviluppatori](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policy-updating.html).AWS Network Firewall * Per le **azioni predefinite Stateless**, scegli **Modifica**. **Quindi, scegli **Elimina** o **Inoltra ai gruppi di regole con stato come Azione**.**
## [NetworkFirewall.5] L'azione stateless predefinita per le policy del Network Firewall dovrebbe essere drop or forward per i pacchetti frammentati
**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-171.r2 3.1.3, NIST.800-171.r2 3.1.14, NIST.800-171.r2 3.13.1, NIST.800-171.r2 3.13.6
**Categoria**: Protezione > Configurazione di rete sicura
**Gravità:** media
**Tipo di risorsa:** `AWS::NetworkFirewall::FirewallPolicy`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-default-action-fragment-packets.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-default-action-fragment-packets.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
+ `statelessFragDefaultActions (Required) : aws:drop, aws:forward_to_sfe`(non personalizzabile)
Questo controllo verifica se l'azione stateless predefinita per i pacchetti frammentati per una policy Network Firewall è drop o forward. Il controllo passa se è selezionato `Drop` o `Forward` è selezionato e fallisce se `Pass` è selezionato.
Una policy firewall definisce il modo in cui il firewall monitora e gestisce il traffico in Amazon VPC. Puoi configurare gruppi di regole stateless e stateful per filtrare pacchetti e flussi di traffico. L'impostazione predefinita è in grado `Pass` di consentire il traffico non intenzionale.
### Correzione
*Per modificare la politica del firewall, consulta [Aggiornamento di una politica del firewall nella Guida per gli sviluppatori](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policy-updating.html).AWS Network Firewall * Per le **azioni predefinite Stateless**, scegli **Modifica**. **Quindi, scegli **Elimina** o **Inoltra ai gruppi di regole con stato come Azione**.**
## [NetworkFirewall.6] Il gruppo di regole Stateless Network Firewall non deve essere vuoto
**Requisiti correlati:** NIST.800-53.r5 AC-4 (21), (11), (16) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (5), NIST.800-53.r5 SC-7 NIST.800-171.r2 3.1.3, NIST.800-53.r5 SC-7 NIST.800-171.r2 3.1.14, NIST.800-171.r2 3.13.1, NIST.800-171.r2 3.13.6
**Categoria**: Protezione > Configurazione di rete sicura
**Gravità:** media
**Tipo di risorsa:** `AWS::NetworkFirewall::RuleGroup`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-stateless-rule-group-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-stateless-rule-group-not-empty.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un gruppo di regole senza stato AWS Network Firewall contiene regole. Il controllo ha esito negativo se non ci sono regole nel gruppo di regole.
Un gruppo di regole contiene regole che definiscono il modo in cui il firewall elabora il traffico nel tuo VPC. Un gruppo di regole stateless vuoto, se presente in una policy firewall, potrebbe dare l'impressione che il gruppo di regole elabori il traffico. Tuttavia, quando il gruppo di regole stateless è vuoto, non elabora il traffico.
### Correzione
Per aggiungere regole al gruppo di regole Network Firewall, consulta [Aggiornamento di un gruppo di regole stateful nella Guida](https://docs.aws.amazon.com/network-firewall/latest/developerguide/rule-group-stateful-updating.html) per gli *AWS Network Firewall sviluppatori*. Nella pagina dei dettagli del firewall, per il **gruppo di regole Stateless**, scegli **Modifica** per aggiungere regole.
## [NetworkFirewall.7] I firewall Network Firewall devono essere etichettati
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::NetworkFirewall::Firewall`
**AWS Config regola:** `tagged-networkfirewall-firewall` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | No default value |
Questo controllo verifica se un AWS Network Firewall firewall dispone di tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se il firewall non dispone di chiavi di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il firewall non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice sull'etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
Per aggiungere tag a un firewall Network Firewall, consulta [Tagging AWS Network Firewall resources](https://docs.aws.amazon.com/network-firewall/latest/developerguide/tagging.html) nella *AWS Network Firewall Developer Guide*.
## [NetworkFirewall.8] Le politiche firewall di Network Firewall devono essere etichettate
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::NetworkFirewall::FirewallPolicy`
**AWS Config regola:** `tagged-networkfirewall-firewallpolicy` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | No default value |
Questo controllo verifica se una policy AWS Network Firewall firewall contiene tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se la politica del firewall non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se la politica del firewall non è contrassegnata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice sull'etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
Per aggiungere tag a una politica di Network Firewall, consulta [Tagging AWS Network Firewall resources](https://docs.aws.amazon.com/network-firewall/latest/developerguide/tagging.html) nella *AWS Network Firewall Developer Guide*.
## [NetworkFirewall.9] I firewall Network Firewall devono avere la protezione da eliminazione abilitata
**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)
**Categoria:** Proteggi > Sicurezza di rete
**Gravità:** media
**Tipo di risorsa:** `AWS::NetworkFirewall::Firewall`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-deletion-protection-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un AWS Network Firewall firewall ha la protezione da eliminazione abilitata. Il controllo fallisce se la protezione da eliminazione non è abilitata per un firewall.
AWS Network Firewall è un firewall di rete gestito a stato e un servizio di rilevamento delle intrusioni che consente di ispezionare e filtrare il traffico da, verso o tra i Virtual Private Cloud (). VPCs L'impostazione di protezione dall'eliminazione protegge dall'eliminazione accidentale del firewall.
### Correzione
Per abilitare la protezione da eliminazione su un firewall Network Firewall esistente, vedere [Aggiornamento di un firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-updating.html) nella *AWS Network Firewall Developer Guide*. Per **Modifica le protezioni**, seleziona **Abilita.** Puoi anche abilitare la protezione dall'eliminazione richiamando l'[ UpdateFirewallDeleteProtection](https://docs.aws.amazon.com/network-firewall/latest/APIReference/API_UpdateFirewallDeleteProtection.html)API e impostando il `DeleteProtection` campo su. `true`
## [NetworkFirewall.10] I firewall Network Firewall devono avere la protezione da cambio di sottorete abilitata
**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)
**Categoria:** Proteggi > Sicurezza di rete
**Gravità:** media
**Tipo di risorsa:** `AWS::NetworkFirewall::Firewall`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-subnet-change-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-subnet-change-protection-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se la protezione da modifica della sottorete è abilitata per un AWS Network Firewall firewall. Il controllo fallisce se la protezione da modifica della sottorete non è abilitata per il firewall.
AWS Network Firewall è un firewall di rete gestito e dotato di stato e un servizio di rilevamento delle intrusioni che puoi utilizzare per ispezionare e filtrare il traffico da, verso o tra i tuoi Virtual Private Cloud (). VPCs Se si abilita la protezione da modifiche di sottorete per un firewall Network Firewall, è possibile proteggere il firewall da modifiche accidentali alle associazioni di sottorete del firewall.
### Correzione
Per informazioni sull'attivazione della protezione da modifiche di sottorete per un firewall Network Firewall esistente, vedere [Updating a firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-updating.html) nella *AWS Network Firewall Developer Guide*.
# Controlli CSPM di Security Hub per Amazon Service OpenSearch
Questi AWS Security Hub CSPM controlli valutano il OpenSearch servizio e le risorse di Amazon OpenSearch Service (Service). I controlli potrebbero non essere disponibili tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## I OpenSearch domini [Opensearch.1] devono avere la crittografia a riposo abilitata
**Requisiti correlati:** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/7.2.1, (1), 3, 8, 8 (1), NIST.800-53.r5 SI-7 (6) NIST.800-53.r5 CA-9 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2
**Categoria**: Protezione > Protezione dei dati > Crittografia di data-at-rest
**Gravità:** media
**Tipo di risorsa:** `AWS::OpenSearch::Domain`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-encrypted-at-rest.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se la encryption-at-rest configurazione dei OpenSearch domini è abilitata. Il controllo non riesce se la crittografia dei dati inattivi non è abilitata.
Per un ulteriore livello di sicurezza per i dati sensibili, è necessario configurare il dominio di OpenSearch servizio in modo che venga crittografato quando è inattivo. Quando configuri la crittografia dei dati inattivi, AWS KMS archivia e gestisce le chiavi di crittografia. Per eseguire la crittografia, AWS KMS utilizza l'algoritmo Advanced Encryption Standard con chiavi a 256 bit (AES-256).
Per ulteriori informazioni sulla crittografia dei OpenSearch servizi a riposo, consulta [Encryption of data at rest for Amazon OpenSearch Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/encryption-at-rest.html) nella *Amazon OpenSearch Service* *Developer Guide*.
### Correzione
Per abilitare la crittografia a riposo per OpenSearch domini nuovi ed esistenti, consulta [Enabling encryption of data at rest](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/encryption-at-rest.html#enabling-ear) nella *Amazon OpenSearch Service Developer Guide*.
## I OpenSearch domini [Opensearch.2] non devono essere accessibili al pubblico
**Requisiti correlati:** PCI DSS versione 3.2.1/1.2.1, PCI DSS versione 3.2.1/1.3.1, PCI DSS versione 3.2.1/1.3.2, PCI DSS versione 3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7),, (21),, (11), (16), (20) NIST.800-53.r5 AC-3, (21), (3) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (4)) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
**Categoria:** Protezione > Configurazione di rete sicura > Risorse all'interno del VPC
**Severità:** critica
**Tipo di risorsa:** `AWS::OpenSearch::Domain`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-in-vpc-only.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-in-vpc-only.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se i OpenSearch domini si trovano in un VPC. Non valuta la configurazione del routing della sottorete VPC per determinare l'accesso pubblico.
È necessario assicurarsi che i OpenSearch domini non siano collegati a sottoreti pubbliche. Consulta [le politiche basate sulle risorse](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ac.html#ac-types-resource) nella Amazon OpenSearch Service Developer Guide. È inoltre necessario assicurarsi che il VPC sia configurato in base alle procedure consigliate. Consulta [le best practice di sicurezza per il tuo VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-best-practices.html) nella Amazon VPC User Guide.
OpenSearch i domini distribuiti all'interno di un VPC possono comunicare con le risorse VPC sulla AWS rete privata, senza la necessità di attraversare la rete Internet pubblica. Questa configurazione aumenta il livello di sicurezza limitando l'accesso ai dati in transito. VPCs forniscono una serie di controlli di rete per proteggere l'accesso ai OpenSearch domini, inclusi l'ACL di rete e i gruppi di sicurezza. Security Hub consiglia di migrare OpenSearch i domini pubblici VPCs per sfruttare questi controlli.
### Correzione
Se si crea un dominio con un endpoint pubblico, non è possibile inserirlo in un VPC in un secondo momento. Devi invece creare un nuovo dominio ed eseguire la migrazione dei dati. È vero anche il contrario. Se si crea un dominio all'interno di un VPC, non può avere un endpoint pubblico. È invece necessario [creare un altro dominio](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createupdatedomains.html#es-createdomains) o disabilitare questo controllo.
Per istruzioni, consulta [Launching your Amazon OpenSearch Service domain all'interno di un VPC nella](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/vpc.html) *Amazon OpenSearch * Service Developer Guide.
## I OpenSearch domini [Opensearch.3] devono crittografare i dati inviati tra i nodi
**Requisiti correlati:** NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3 ( NIST.800-53.r5 SC-23), (4), NIST.800-53.r5 SC-7 (1) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 (2) NIST.800-53.r5 SC-8
**Categoria:** Protezione > Protezione dei dati > Crittografia di data-in-transit
**Gravità:** media
**Tipo di risorsa:** `AWS::OpenSearch::Domain`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-node-to-node-encryption-check.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-node-to-node-encryption-check.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se i OpenSearch domini hanno la node-to-node crittografia abilitata. Questo controllo ha esito negativo se node-to-node la crittografia è disabilitata nel dominio.
HTTPS (TLS) può essere utilizzato per impedire a potenziali aggressori di intercettare o manipolare il traffico di rete utilizzando attacchi simili. person-in-the-middle Devono essere consentite solo le connessioni crittografate tramite HTTPS (TLS). L'abilitazione della node-to-node crittografia per i OpenSearch domini garantisce che le comunicazioni all'interno del cluster siano crittografate durante il transito.
Questa configurazione può comportare un calo delle prestazioni. È necessario conoscere e testare il compromesso in termini di prestazioni prima di attivare questa opzione.
### Correzione
Per abilitare node-to-node la crittografia su un OpenSearch dominio, consulta [ node-to-nodeEnabling encryption](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ntn.html#enabling-ntn) nella *Amazon OpenSearch Service Developer Guide*.
## La registrazione degli errori del OpenSearch dominio [Opensearch.4] nei log dovrebbe essere abilitata CloudWatch
**Requisiti correlati:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7
**Categoria:** Identificazione > Registrazione
**Gravità:** media
**Tipo di risorsa:** `AWS::OpenSearch::Domain`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-logs-to-cloudwatch.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
+ `logtype = 'error'`(non personalizzabile)
Questo controllo verifica se i OpenSearch domini sono configurati per inviare i log degli errori ai CloudWatch registri. Questo controllo ha esito negativo se la registrazione degli errori non CloudWatch è abilitata per un dominio.
È necessario abilitare i log degli errori per i OpenSearch domini e inviarli a Logs per la conservazione e la CloudWatch risposta. I log degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e per diagnosticare i problemi di disponibilità.
### Correzione
Per abilitare la pubblicazione dei log, consulta [Enabling log publishing (console)](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createdomain-configure-slow-logs.html#createdomain-configure-slow-logs-console) nella *Amazon OpenSearch Service Developer Guide*.
## I OpenSearch domini [Opensearch.5] devono avere la registrazione di controllo abilitata
**Requisiti correlati:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.2.1
**Categoria:** Identificazione > Registrazione
**Gravità:** media
**Tipo di risorsa:** `AWS::OpenSearch::Domain`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-audit-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-audit-logging-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
+ `cloudWatchLogsLogGroupArnList`(non personalizzabile) — Security Hub CSPM non compila questo parametro. Elenco separato da virgole di gruppi di CloudWatch log che devono essere configurati per i log di controllo.
Questo controllo verifica se nei OpenSearch domini è abilitata la registrazione di controllo. Questo controllo ha esito negativo se in un OpenSearch dominio non è abilitata la registrazione di controllo.
I log di controllo sono altamente personalizzabili. Ti consentono di tenere traccia delle attività degli utenti sui tuoi OpenSearch cluster, compresi i successi e gli errori di autenticazione, le richieste, le modifiche all'indicizzazione e le OpenSearch query di ricerca in arrivo.
### Correzione
Per istruzioni su come abilitare i log di controllo, consulta [Enabling audit logs](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/audit-logs.html#audit-log-enabling) nella *Amazon OpenSearch Service Developer Guide*.
## I OpenSearch domini [Opensearch.6] devono avere almeno tre nodi di dati
**Requisiti correlati:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
**Categoria: Recupero > Resilienza > Alta disponibilità**
**Gravità:** media
**Tipo di risorsa:** `AWS::OpenSearch::Domain`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-data-node-fault-tolerance.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-data-node-fault-tolerance.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se i OpenSearch domini sono configurati con almeno tre nodi di dati e `zoneAwarenessEnabled` lo è. `true` Questo controllo ha esito negativo per un OpenSearch dominio se `instanceCount` è inferiore a 3 o lo `zoneAwarenessEnabled` è`false`.
Per ottenere disponibilità e tolleranza agli errori elevate a livello di cluster, un OpenSearch dominio deve avere almeno tre nodi di dati. L'implementazione di un OpenSearch dominio con almeno tre nodi di dati garantisce le operazioni del cluster in caso di guasto di un nodo.
### Correzione
**Per modificare il numero di nodi di dati in un dominio OpenSearch**
1. Accedi alla AWS console e apri la console Amazon OpenSearch Service all'indirizzo [https://console.aws.amazon.com/aos/](https://console.aws.amazon.com/aos/).
1. In I **miei domini**, scegli il nome del dominio da modificare e scegli **Modifica**.
1. In **Nodi di dati** imposta **Numero di nodi** su un numero maggiore di`3`. Se esegui la distribuzione in tre zone di disponibilità, imposta il numero su un multiplo di tre per garantire una distribuzione equa tra le zone di disponibilità.
1. Seleziona **Invia**.
## I OpenSearch domini [Opensearch.7] devono avere un controllo degli accessi granulare abilitato
**Requisiti correlati:** NIST.800-53.r5 AC-2 (1), (15) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6
**Categoria:** Protezione > Gestione degli accessi sicuri > Azioni API sensibili limitate
**Gravità:** alta
**Tipo di risorsa:** `AWS::OpenSearch::Domain`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-access-control-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-access-control-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se nei OpenSearch domini è abilitato il controllo granulare degli accessi. Il controllo fallisce se il controllo di accesso a grana fine non è abilitato. Il controllo granulare degli accessi richiede `advanced-security-options` che il parametro sia abilitato. OpenSearch `update-domain-config`
Il controllo granulare degli accessi offre modi aggiuntivi per controllare l'accesso ai tuoi dati su Amazon Service. OpenSearch
### Correzione
*Per abilitare il controllo granulare degli accessi, consulta la sezione Controllo [granulare degli accessi in Amazon Service nella Amazon OpenSearch Service Developer](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/fgac.html) Guide. OpenSearch *
## [Opensearch.8] Le connessioni ai OpenSearch domini devono essere crittografate utilizzando la più recente politica di sicurezza TLS
**Requisiti correlati:** NIST.800-53.r5 AC-1 7 (2) NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5 (1), NIST.800-53.r5 SC-1 2 (3), 3, 3, NIST.800-53.r5 SC-1 3 (3), NIST.800-53.r5 SC-2 (4), (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-8 (6) NIST.800-53.r5 SC-2
**Categoria: Protezione > Protezione** dei dati > Crittografia di data-in-transit
**Gravità:** media
**Tipo di risorsa:** `AWS::OpenSearch::Domain`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-https-required.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-https-required.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
+ `tlsPolicies: Policy-Min-TLS-1-2-PFS-2023-10`(non personalizzabile)
Questo controllo verifica se un endpoint di dominio Amazon OpenSearch Service è configurato per utilizzare la politica di sicurezza TLS più recente. Il controllo fallisce se l'endpoint del OpenSearch dominio non è configurato per utilizzare l'ultima politica supportata o se HTTPs non è abilitato.
HTTPS (TLS) può essere utilizzato per impedire a potenziali aggressori di utilizzare person-in-the-middle o attacchi simili per intercettare o manipolare il traffico di rete. Devono essere consentite solo le connessioni crittografate tramite HTTPS (TLS). La crittografia dei dati in transito può influire sulle prestazioni. È consigliabile testare l'applicazione con questa funzionalità per comprendere il profilo delle prestazioni e l'impatto del TLS. TLS 1.2 offre diversi miglioramenti della sicurezza rispetto alle versioni precedenti di TLS.
### Correzione
Per abilitare la crittografia TLS, utilizza l'operazione API. [UpdateDomainConfig](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_UpdateDomainConfig.html) Configura il [DomainEndpointOptions](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_DomainEndpointOptions.html)campo per specificare il valore per`TLSSecurityPolicy`. Per ulteriori informazioni, consulta la sezione sulla [Node-to-node crittografia](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ntn.html) nell'*Amazon OpenSearch Service Developer Guide*.
## I OpenSearch domini [Opensearch.9] devono essere etichettati
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::OpenSearch::Domain`
**AWS Config regola:** `tagged-opensearch-domain` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | No default value |
Questo controllo verifica se un dominio Amazon OpenSearch Service ha tag con le chiavi specifiche definite nel parametro`requiredTagKeys`. Il controllo fallisce se il dominio non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il dominio non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
Per aggiungere tag a un dominio OpenSearch di servizio, consulta [Working with tags](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/managedomains-awsresourcetagging.html#managedomains-awsresourcetagging-console) nella *Amazon OpenSearch Service Developer Guide*.
## Nei OpenSearch domini [Opensearch.10] deve essere installato l'ultimo aggiornamento software
**Requisiti correlati:** NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2 (2), NIST.800-53.r5 SI-2 (4), NIST.800-53.r5 SI-2 (5), PCI DSS v4.0.1/6.3.3
**Categoria**: Identificazione > Gestione di vulnerabilità, patch e versioni
**Gravità:** media
**Tipo di risorsa:** `AWS::OpenSearch::Domain`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-update-check.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-update-check.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se in un dominio Amazon OpenSearch Service è installato l'ultimo aggiornamento software. Il controllo fallisce se un aggiornamento software è disponibile ma non è installato per il dominio.
OpenSearch Gli aggiornamenti del software di servizio forniscono le correzioni, gli aggiornamenti e le funzionalità più recenti della piattaforma disponibili per l'ambiente. Mantenere up-to-date l'installazione delle patch aiuta a mantenere la sicurezza e la disponibilità del dominio. Se non viene intrapresa alcuna azione sugli aggiornamenti richiesti, il software di servizio viene aggiornato automaticamente (in genere dopo 2 settimane). Ti consigliamo di pianificare gli aggiornamenti in un periodo di scarso traffico verso il dominio per ridurre al minimo le interruzioni del servizio.
### Correzione
Per installare gli aggiornamenti software per un OpenSearch dominio, consulta [Starting an update](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/service-software.html#service-software-requesting) nella *Amazon OpenSearch Service Developer Guide*.
## I OpenSearch domini [Opensearch.11] devono avere almeno tre nodi primari dedicati
**Requisiti correlati:**, 6 NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2, NIST.800-53.r5 SC-5, NIST.800-53.r5 SC-3 NIST.800-53.r5 SI-13
**Categoria: Recupero > Resilienza > Alta disponibilità**
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::OpenSearch::Domain`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/opensearch-primary-node-fault-tolerance.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-primary-node-fault-tolerance.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un dominio Amazon OpenSearch Service è configurato con almeno tre nodi primari dedicati. Il controllo fallisce se il dominio ha meno di tre nodi primari dedicati.
OpenSearch Il servizio utilizza nodi primari dedicati per aumentare la stabilità del cluster. Un nodo primario dedicato esegue attività di gestione del cluster, ma non contiene dati né risponde alle richieste di caricamento dei dati. Si consiglia di utilizzare Multi-AZ con standby, che aggiunge tre nodi primari dedicati a ciascun dominio di produzione OpenSearch .
### Correzione
Per modificare il numero di nodi primari per un OpenSearch dominio, consulta [Creazione e gestione dei domini Amazon OpenSearch Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createupdatedomains.html) nella *Amazon OpenSearch Service Developer Guide*.
# Controlli CSPM Security Hub per AWS Private CA
Questi AWS Security Hub CSPM controlli valutano il servizio e le risorse AWS Autorità di certificazione privata (AWS Private CA).
Questi controlli potrebbero non essere disponibili in tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## L'autorità di certificazione AWS Private CA principale [PCA.1] deve essere disabilitata
**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2
**Categoria:** Protezione > Configurazione di rete protetta
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::ACMPCA::CertificateAuthority`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/acm-pca-root-ca-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/acm-pca-root-ca-disabled.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se AWS Private CA dispone di un'autorità di certificazione (CA) principale disabilitata. Il controllo fallisce se la CA principale è abilitata.
Con AWS Private CA, è possibile creare una gerarchia di CA che include una CA radice e una CAs subordinata. È necessario ridurre al minimo l'uso della CA root per le attività quotidiane, specialmente negli ambienti di produzione. La CA principale deve essere utilizzata solo per emettere certificati CAs intermedi. In questo modo la CA principale può essere conservata al riparo dai pericoli, mentre quella intermedia CAs esegue l'attività quotidiana di emissione di certificati di entità finale.
### Correzione
*Per disabilitare la CA principale, consulta la sezione [Aggiornamento dello stato della CA](https://docs.aws.amazon.com/privateca/latest/userguide/console-update.html#console-update-status-steps) nella Guida per l'utente.AWS Autorità di certificazione privata *
## [PCA.2] Le autorità di certificazione CA AWS private devono essere etichettate
**Categoria: Identificazione > Inventario** > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::ACMPCA::CertificateAuthority`
**Regola AWS Config : ** `acmpca-certificate-authority-tagged`
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un'autorità di certificazione CA AWS privata dispone di tag con le chiavi specifiche definite nel parametro. `requiredKeyTags` Il controllo ha esito negativo se l'autorità di certificazione non dispone di chiavi di tag o se non dispone di tutte le chiavi specificate nel parametro`requiredKeyTags`. Se il parametro `requiredKeyTags` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'autorità di certificazione non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella Guida per l'utente *IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Migliori pratiche e strategie](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) nella Guida per l'*utente di Tagging AWS Resources and Tag Editor*.
### Correzione
Per aggiungere tag a un'autorità CA AWS privata, consulta [Aggiungere tag per la CA privata nella Guida](https://docs.aws.amazon.com/privateca/latest/userguide/PcaCaTagging.html) per l'*AWS Autorità di certificazione privata utente*.
# Controlli CSPM del Security Hub per Amazon RDS
Questi AWS Security Hub CSPM controlli valutano le risorse di Amazon Relational Database Service (Amazon RDS) e Amazon RDS. I controlli potrebbero non essere disponibili tutti. Regioni AWS Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [RDS.1] L'istantanea RDS deve essere privata
**Requisiti correlati:** PCI DSS versione 3.2.1/1.2.1, PCI DSS versione 3.2.1/1.3.1, PCI DSS versione 3.2.1/1.3.4, PCI DSS versione 3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7),, (21),, (11), (16), (20) NIST.800-53.r5 AC-3, (21), (3) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (4)) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
**Categoria:** Protezione > Configurazione di rete protetta
**Severità:** critica
**Tipo di risorsa:**`AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBSnapshot`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshots-public-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshots-public-prohibited.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se gli snapshot di Amazon RDS sono pubblici. Il controllo fallisce se le istantanee RDS sono pubbliche. Questo controllo valuta le istanze RDS, le istanze Aurora DB, le istanze Neptune DB e i cluster Amazon DocumentDB.
Gli snapshot RDS vengono utilizzati per eseguire il backup dei dati nelle istanze RDS in un determinato momento. Possono essere utilizzati per ripristinare gli stati precedenti delle istanze RDS.
Uno snapshot RDS non deve essere pubblico a meno che non sia previsto. Se condividi uno snapshot manuale non crittografato come pubblico, questo rende lo snapshot disponibile a tutti. Account AWS Ciò potrebbe comportare l'esposizione non intenzionale dei dati dell'istanza RDS.
Tieni presente che se la configurazione viene modificata per consentire l'accesso pubblico, la AWS Config regola potrebbe non essere in grado di rilevare la modifica per un massimo di 12 ore. Finché la AWS Config regola non rileva la modifica, il controllo viene superato anche se la configurazione viola la regola.
Per ulteriori informazioni sulla condivisione di uno snapshot DB, consulta [Sharing a DB snapshot](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_ShareSnapshot.html) nella *Amazon RDS* User Guide.
### Correzione
Per rimuovere l'accesso pubblico dagli snapshot RDS, consulta [Sharing a snapshot](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_ShareSnapshot.html#USER_ShareSnapshot.Sharing) nella *Amazon RDS* User Guide. **Per la **visibilità degli snapshot DB**, scegliamo Private.**
## [RDS.2] Le istanze DB RDS dovrebbero vietare l'accesso pubblico, come determinato dalla configurazione PubliclyAccessible
**Requisiti correlati:** benchmark CIS AWS Foundations versione 5.0.0/2.2.3, benchmark CIS AWS Foundations versione 3.0.0/2.3.3, (21), (11), (16) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), (4) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (5), NIST.800-53.r5 SC-7 PCI DSS versione 3.2.1/1.2.1, NIST.800-53.r5 SC-7 PCI DSS versione 3.2.1/1.3.1, PCI DSS versione 3.2.1/1.3.2, PCI DSS versione 3.2.2.1/1.3.2 3.4, PCI DSS versione 3.2.1/1.3.6, PCI DSS versione 3.2.1/7.2.1, PCI DSS versione 4.0.1/1.4.4 NIST.800-53.r5 SC-7
**Categoria:** Protezione > Configurazione di rete protetta
**Severità:** critica
**Tipo di risorsa:** `AWS::RDS::DBInstance`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-public-access-check.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-public-access-check.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se le istanze di Amazon RDS sono accessibili al pubblico valutando il `PubliclyAccessible` campo nell'elemento di configurazione dell'istanza.
Le istanze DB Neptune e i cluster Amazon DocumentDB non hanno il flag e non `PubliclyAccessible` possono essere valutati. Tuttavia, questo controllo può comunque generare risultati per queste risorse. È possibile sopprimere questi risultati.
Il valore `PubliclyAccessible` nella configurazione dell'istanza RDS indica se l'istanza database è accessibile pubblicamente. Quando l'istanza database è configurata con `PubliclyAccessible`, si tratta di un'istanza con connessione Internet con un nome DNS risolvibile pubblicamente, che si risolve in un indirizzo IP pubblico. Quando l'istanza database non è accessibile pubblicamente, è un'istanza interna con un nome DNS che si risolve in un indirizzo IP privato.
A meno che non si intenda rendere l'istanza RDS accessibile al pubblico, l'istanza RDS non deve essere configurata con valore. `PubliclyAccessible` In questo modo si potrebbe consentire un traffico non necessario verso l'istanza del database.
### Correzione
Per rimuovere l'accesso pubblico dalle istanze DB RDS, consulta [Modificare un'istanza DB Amazon RDS nella](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.DBInstance.Modifying.html) *Amazon* RDS User Guide. **Per l'accesso **pubblico**, scegli No.**
## [RDS.3] Le istanze database RDS devono avere la crittografia dei dati inattivi abilitata
**Requisiti correlati:** CIS AWS Foundations Benchmark v5.0.0/2.2.1, CIS Foundations Benchmark v3.0.0/2.3.1, CIS AWS Foundations Benchmark v1.4.0/2.3.1, (1), 3, 8 AWS (1), (10), NIST.800-53.r5 CA-9 NIST.800-53.r5 SI-7 (6) NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-7
**Categoria**: Protezione > Protezione dei dati > Crittografia di data-at-rest
**Gravità:** media
**Tipo di risorsa:** `AWS::RDS::DBInstance`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se la crittografia dello storage è abilitata per le istanze database di Amazon RDS.
Questo controllo è destinato alle istanze DB RDS. Tuttavia, può anche generare risultati per le istanze Aurora DB, le istanze Neptune DB e i cluster Amazon DocumentDB. Se questi risultati non sono utili, puoi eliminarli.
Per un ulteriore livello di sicurezza per i dati sensibili nelle istanze database RDS è necessario configurare la crittografia dei dati inattivi delle istanze database RDS. Per crittografare i dati inattivi delle istanze database RDS e degli snapshot, abilita l'opzione di crittografia per le istanze database RDS. I dati che vengono crittografati quando sono inattivi includono lo storage sottostante per le istanze database, i backup automatici, le repliche di lettura e gli snapshot.
Le istanze database crittografate RDS utilizzano l'algoritmo di crittografia AES-256 standard aperto per crittografare i dati sul server che ospita l'istanza database RDS. Dopo la crittografia dei dati, Amazon RDS gestisce l'autenticazione dell'accesso e la decrittografia dei dati in modo trasparente con un impatto minimo sulle prestazioni. Non è quindi necessario modificare le applicazioni client di database per utilizzare la crittografia.
La crittografia Amazon RDS è attualmente disponibile per tutti i motori di database e i tipi di storage. La crittografia Amazon RDS è disponibile per la maggior parte delle classi di istanza database. Per informazioni sulle classi di istanze DB che non supportano la crittografia Amazon RDS, [consulta Encrypting Amazon RDS resources nella *Amazon RDS*](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html) User Guide.
### Correzione
*Per informazioni sulla crittografia delle istanze DB in Amazon RDS, consulta Encrypting [Amazon RDS resources nella Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html) User Guide.*
## [RDS.4] Le istantanee dei cluster RDS e le istantanee del database devono essere crittografate quando sono inattive
**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.r5 SC-7 NIST.800-53.R5 SI-7 ( NIST.800-53.r5 SC-26)
**Categoria: Protezione > Protezione** dei dati > Crittografia di data-at-rest
**Gravità:** media
**Tipo di risorsa:**`AWS::RDS::DBClusterSnapshot`, ` AWS::RDS::DBSnapshot`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshot-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshot-encrypted.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un'istantanea di RDS DB è crittografata. Il controllo ha esito negativo se uno snapshot RDS DB non è crittografato.
Questo controllo è destinato alle istanze DB RDS. Tuttavia, può anche generare risultati per istantanee di istanze Aurora DB, istanze DB Neptune e cluster Amazon DocumentDB. Se questi risultati non sono utili, puoi eliminarli.
La crittografia dei dati inattivi riduce il rischio che un utente non autenticato acceda ai dati archiviati su disco. I dati nelle istantanee RDS devono essere crittografati quando sono inattivi per un ulteriore livello di sicurezza.
### Correzione
*Per crittografare uno snapshot RDS, consulta Encrypting [Amazon RDS resources nella Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html) User Guide.* Quando crittografi un'istanza DB RDS, i dati crittografati includono lo storage sottostante dell'istanza, i relativi backup automatici, le repliche di lettura e le istantanee.
È possibile crittografare un'istanza DB RDS solo al momento della creazione, non dopo la creazione dell'istanza DB. Tuttavia, poiché è possibile crittografare una copia di uno snapshot DB non crittografata, puoi aggiungere in modo efficace la crittografia a un'istanza database non crittografata. Ovvero, è possibile creare uno snapshot dell'istanza database e quindi creare una copia crittografata di quella snapshot. Puoi quindi ripristinare un'istanza database da uno snapshot crittografata e pertanto disporre di una copia crittografata dell'istanza database originale.
## [RDS.5] Le istanze DB RDS devono essere configurate con più zone di disponibilità
**Requisiti correlati:** CIS AWS Foundations Benchmark v5.0.0/2.2.4, 6, (2), NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 NIST.800-53.r5 SI-13 (5) NIST.800-53.r5 SC-5
**Categoria**: Recupero > Resilienza > Alta disponibilità
**Gravità:** media
**Tipo di risorsa:** `AWS::RDS::DBInstance`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-multi-az-support.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-multi-az-support.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se l'alta disponibilità è abilitata per le istanze DB RDS. Il controllo ha esito negativo se un'istanza DB RDS non è configurata con più zone di disponibilità (). AZs Questo controllo non si applica alle istanze DB RDS che fanno parte di una distribuzione di cluster DB Multi-AZ.
La configurazione delle istanze DB di Amazon RDS con AZs aiuta a garantire la disponibilità dei dati archiviati. Le implementazioni Multi-AZ consentono il failover automatico in caso di problemi con la disponibilità di AZ e durante la normale manutenzione RDS.
### Correzione
Per distribuire le tue istanze DB in più istanze AZs, [modifica di un'istanza DB per renderla un'istanza DB Multi-AZ nella *Amazon* RDS User](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Concepts.MultiAZSingleStandby.html#Concepts.MultiAZ.Migrating) Guide.
## [RDS.6] Il monitoraggio avanzato deve essere configurato per le istanze DB RDS
**Requisiti correlati**:, NIST.800-53.R5 SI-2 NIST.800-53.r5 CA-7
**Categoria:** Rilevamento > Servizi di rilevamento
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::RDS::DBInstance`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-enhanced-monitoring-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-enhanced-monitoring-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| `monitoringInterval` | Numero di secondi tra gli intervalli di raccolta delle metriche di monitoraggio | Enum | `1`, `5`, `10`, `15`, `30`, `60` | Nessun valore predefinito |
Questo controllo verifica se il monitoraggio avanzato è abilitato per un'istanza DB di Amazon Relational Database Service (Amazon RDS). Il controllo fallisce se il monitoraggio avanzato non è abilitato per l'istanza. Se fornisci un valore personalizzato per il `monitoringInterval` parametro, il controllo passa solo se le metriche di monitoraggio avanzate vengono raccolte per l'istanza all'intervallo specificato.
In Amazon RDS, Enhanced Monitoring consente una risposta più rapida ai cambiamenti delle prestazioni nell'infrastruttura sottostante. Queste modifiche delle prestazioni potrebbero comportare una mancanza di disponibilità dei dati. Enhanced Monitoring fornisce metriche in tempo reale del sistema operativo su cui viene eseguita l'istanza DB RDS. Sull'istanza è installato un agente. L'agente può ottenere le metriche in modo più accurato di quanto sia possibile dal livello dell'hypervisor.
I parametri di monitoraggio avanzato sono utili quando si desidera vedere come viene utilizzata la CPU in un'istanza database dai diversi processi o thread. Per ulteriori informazioni, consulta la sezione [Enhanced Monitoring](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Monitoring.OS.html) (Monitoraggio avanzato) nella *Guida per l'utente di Amazon RDS*.
### Correzione
Per istruzioni dettagliate sull'attivazione di Enhanced Monitoring per la tua istanza DB, consulta [Configurazione e attivazione di Enhanced Monitoring](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Monitoring.OS.Enabling) nella *Amazon RDS User Guide*.
## [RDS.7] I cluster RDS devono avere la protezione da eliminazione abilitata
**Requisiti correlati**: (2) NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5
**Categoria:** Protezione > Protezione dei dati > Protezione dalla cancellazione dei dati
**Gravità:** media
**Tipo di risorsa:** `AWS::RDS::DBCluster`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-deletion-protection-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un cluster RDS DB ha la protezione da eliminazione abilitata. Il controllo ha esito negativo se in un cluster RDS DB non è abilitata la protezione da eliminazione.
Questo controllo è destinato alle istanze DB RDS. Tuttavia, può anche generare risultati per le istanze Aurora DB, le istanze Neptune DB e i cluster Amazon DocumentDB. Se questi risultati non sono utili, puoi eliminarli.
L'attivazione della protezione dall'eliminazione del cluster è un ulteriore livello di protezione contro l'eliminazione accidentale del database o l'eliminazione da parte di un'entità non autorizzata.
Quando la protezione da eliminazione è abilitata, non è possibile eliminare un cluster RDS. Prima che una richiesta di eliminazione possa avere esito positivo, è necessario disabilitare la protezione dall'eliminazione.
### Correzione
Per abilitare la protezione da eliminazione per un cluster RDS DB, consulta [Modificare il cluster DB utilizzando la console, la CLI e l'API nella](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Modifying.html#Aurora.Modifying.Cluster) *Amazon* RDS User Guide. **Per la protezione da **eliminazione, scegli Abilita protezione** da eliminazione.**
## [RDS.8] Le istanze DB RDS devono avere la protezione da eliminazione abilitata
**Requisiti correlati:** NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5)
**Categoria: Protezione > Protezione** dei dati > Protezione dalla cancellazione dei dati
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::RDS::DBInstance`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-deletion-protection-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
+ `databaseEngines`: `mariadb,mysql,custom-oracle-ee,oracle-ee-cdb,oracle-se2-cdb,oracle-ee,oracle-se2,oracle-se1,oracle-se,postgres,sqlserver-ee,sqlserver-se,sqlserver-ex,sqlserver-web` (non personalizzabile)
Questo controllo verifica se le istanze DB RDS che utilizzano uno dei motori di database elencati hanno la protezione dall'eliminazione abilitata. Il controllo ha esito negativo se per un'istanza RDS DB non è abilitata la protezione da eliminazione.
L'attivazione della protezione dall'eliminazione delle istanze è un ulteriore livello di protezione contro l'eliminazione accidentale del database o l'eliminazione da parte di un'entità non autorizzata.
Mentre la protezione dall'eliminazione è abilitata, un'istanza DB RDS non può essere eliminata. Prima che una richiesta di eliminazione possa avere esito positivo, è necessario disabilitare la protezione dall'eliminazione.
### Correzione
Per abilitare la protezione da eliminazione per un'istanza DB RDS, consulta [Modificare un'istanza DB Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.DBInstance.Modifying.html) nella *Amazon RDS* User Guide. **Per la protezione da **eliminazione, scegli Abilita protezione** da eliminazione.**
## [RDS.9] Le istanze DB RDS devono pubblicare i log nei registri CloudWatch
**Requisiti correlati:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), (10), NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.r5 SI-4 NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.2.1
**Categoria:** Identificazione > Registrazione
**Gravità:** media
**Tipo di risorsa:** `AWS::RDS::DBInstance`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-logging-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un'istanza DB di Amazon RDS è configurata per pubblicare i seguenti log su Amazon CloudWatch Logs. Il controllo fallisce se l'istanza non è configurata per pubblicare i seguenti log su Logs: CloudWatch
+ Oracle: Alert, Audit, Trace, Listener
+ PostgreSQL: Postgresql, aggiornamento
+ MySQL: controllo, errore, generale, SlowQuery
+ MariaDB: controllo, errore, generale, SlowQuery
+ SQL Server: errore, agente
+ Aurora: Controllo, Errore, Generale, SlowQuery
+ Aurora-MySQL: controllo, errore, generale, SlowQuery
+ Aurora-PostgreSQL: Postgresql
I database RDS devono avere i log pertinenti abilitati. La registrazione del database fornisce registrazioni dettagliate delle richieste effettuate a RDS. I log del database possono facilitare i controlli di sicurezza e accesso e possono aiutare a diagnosticare i problemi di disponibilità.
### Correzione
*Per informazioni sulla pubblicazione dei log del database RDS in CloudWatch Logs, consulta [Specificare i log da pubblicare su Logs CloudWatch nella Amazon](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.Procedural.UploadtoCloudWatch.html#integrating_cloudwatchlogs.configure) RDS User Guide.*
## [RDS.10] L'autenticazione IAM deve essere configurata per le istanze RDS
**Requisiti correlati:** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15) NIST.800-53.r5 AC-3, (7), NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6
**Categoria:** Protezione > Gestione sicura degli accessi > Autenticazione senza password
**Gravità:** media
**Tipo di risorsa:** `AWS::RDS::DBInstance`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-iam-authentication-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-iam-authentication-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un'istanza DB RDS ha l'autenticazione del database IAM abilitata. Il controllo fallisce se l'autenticazione IAM non è configurata per le istanze DB RDS. Questo controllo valuta solo le istanze RDS con i seguenti tipi di motore:`mysql`,,,`postgres`, `aurora` e. `aurora-mysql` `aurora-postgresql` `mariadb` Un'istanza RDS deve inoltre trovarsi in uno dei seguenti stati per generare un risultato:`available`,, `backing-up` o. `storage-optimization` `storage-full`
L'autenticazione del database IAM consente l'autenticazione delle istanze del database con un token di autenticazione anziché una password. Il traffico di rete da e verso il database viene crittografato tramite SSL. Per ulteriori informazioni, consulta [Autenticazione database IAM](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/UsingWithRDS.IAMDBAuth.html) nella *Guida per l'utente di Amazon Aurora*.
### Correzione
Per attivare l'autenticazione del database IAM su un'istanza DB RDS, consulta [Abilitazione e disabilitazione dell'autenticazione del database IAM](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.IAMDBAuth.Enabling.html) nella *Amazon RDS* User Guide.
## [RDS.11] Le istanze RDS devono avere i backup automatici abilitati
**Requisiti correlati:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-12, NIST.800-53.r5 SI-13 (5)
**Categoria**: Ripristino > Resilienza > Backup abilitati
**Gravità:** media
**Tipo di risorsa:** `AWS::RDS::DBInstance`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/db-instance-backup-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/db-instance-backup-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| `backupRetentionMinimum` | Periodo minimo di conservazione dei backup in giorni | Numero intero | `7` Da a `35` | `7` |
| `checkReadReplicas` | Verifica se le istanze DB RDS dispongono di backup abilitati per le repliche di lettura | Booleano | Non personalizzabile | `false` |
Questo controllo verifica se un'istanza di Amazon Relational Database Service ha abilitato i backup automatici e un periodo di conservazione dei backup maggiore o uguale al periodo di tempo specificato. Le repliche di lettura sono escluse dalla valutazione. Il controllo fallisce se i backup non sono abilitati per l'istanza o se il periodo di conservazione è inferiore al periodo di tempo specificato. A meno che non si fornisca un valore di parametro personalizzato per il periodo di conservazione del backup, Security Hub CSPM utilizza un valore predefinito di 7 giorni.
I backup aiutano a ripristinare più rapidamente un incidente di sicurezza e rafforzano la resilienza dei sistemi. Amazon RDS consente di configurare istantanee giornaliere di volumi completi di istanze. Per ulteriori informazioni sui backup automatici di Amazon RDS, consulta [Working with Backups](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithAutomatedBackups.html) nella *Amazon RDS* User Guide.
### Correzione
Per abilitare i backup automatici su un'istanza DB RDS, consulta [Enabling automation backup](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithAutomatedBackups.html#USER_WorkingWithAutomatedBackups.Enabling) nella *Amazon RDS* User Guide.
## [RDS.12] L'autenticazione IAM deve essere configurata per i cluster RDS
**Requisiti correlati:** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15) NIST.800-53.r5 AC-3, (7), NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6
**Categoria:** Protezione > Gestione sicura degli accessi > Autenticazione senza password
**Gravità:** media
**Tipo di risorsa:** `AWS::RDS::DBCluster`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-iam-authentication-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-iam-authentication-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un cluster Amazon RDS DB ha l'autenticazione del database IAM abilitata.
L'autenticazione del database IAM consente l'autenticazione senza password per le istanze di database. L'autenticazione utilizza un token di autenticazione. Il traffico di rete da e verso il database è crittografato tramite SSL. Per ulteriori informazioni, consulta [Autenticazione database IAM](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/UsingWithRDS.IAMDBAuth.html) nella *Guida per l'utente di Amazon Aurora*.
### Correzione
Per abilitare l'autenticazione IAM per un cluster DB, consulta [Abilitazione e disabilitazione dell'autenticazione del database IAM](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/UsingWithRDS.IAMDBAuth.Enabling.html) nella Guida per l'utente di *Amazon Aurora*.
## [RDS.13] Gli aggiornamenti automatici delle versioni secondarie di RDS devono essere abilitati
**Requisiti correlati:** benchmark CIS AWS Foundations versione 5.0.0/2.2.2, benchmark CIS AWS Foundations versione 3.0.0/2.3.2, NIST.800-53.r5 SI-2 (2), NIST.800-53.r5 SI-2 (2), NIST.800-53.r5 SI-2 (4), NIST.800-53.r5 SI-2 (5), PCI DSS v4.0.1/6.3.3
**Categoria:** Identificazione > Gestione di vulnerabilità, patch e versioni
**Gravità:** alta
**Tipo di risorsa:** `AWS::RDS::DBInstance`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-automatic-minor-version-upgrade-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-automatic-minor-version-upgrade-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se gli aggiornamenti automatici delle versioni secondarie sono abilitati per l'istanza del database RDS.
Gli aggiornamenti automatici delle versioni secondarie aggiornano periodicamente un database alle versioni recenti del motore di database. Tuttavia, l’aggiornamento potrebbe non includere sempre la versione più recente del motore di database. Se è necessario mantenere i database su versioni specifiche in momenti particolari, consigliamo di eseguire manualmente l’aggiornamento alle versioni del database necessarie in base alla pianificazione richiesta. In caso di problemi di sicurezza critici o quando una versione raggiunge la end-of-support data di scadenza, Amazon RDS potrebbe applicare un aggiornamento di versione secondario anche se non hai abilitato l'opzione **Aggiornamento automatico della versione secondaria**. Per ulteriori informazioni, consulta la documentazione di aggiornamento di Amazon RDS per il tuo motore di database specifico:
+ [Aggiornamenti automatici delle versioni secondarie per RDS per MariadB](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.MariaDB.Minor.html)
+ [Aggiornamenti automatici delle versioni secondarie per RDS for MySQL](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.MySQL.Minor.html)
+ [Aggiornamenti automatici delle versioni secondarie per RDS per PostgreSQL](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.PostgreSQL.Minor.html)
+ [Db2 nelle versioni di Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Db2.Concepts.VersionMgmt.html)
+ [Aggiornamenti delle versioni minori di Oracle](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.Oracle.Minor.html)
+ [Aggiornamenti del motore DB Microsoft SQL Server](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.SQLServer.html)
### Correzione
Per abilitare gli aggiornamenti automatici delle versioni secondarie per un'istanza DB esistente, consulta [Modificare un'istanza DB Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.DBInstance.Modifying.html) nella *Amazon RDS* User Guide. **Per l'**aggiornamento automatico delle versioni secondarie**, seleziona Sì.**
## [RDS.14] I cluster Amazon Aurora devono avere il backtracking abilitato
**Requisiti correlati:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6 (1), NIST.800-53.r5 CP-6 (2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SI-13 (5)
**Categoria**: Ripristino > Resilienza > Backup abilitati
**Gravità:** media
**Tipo di risorsa:** `AWS::RDS::DBCluster`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/aurora-mysql-backtracking-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/aurora-mysql-backtracking-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| `BacktrackWindowInHours` | Numero di ore per il backtrack di un cluster Aurora MySQL | Double | `0.1` Da a `72` | Nessun valore predefinito |
Questo controllo verifica se un cluster Amazon Aurora ha il backtracking abilitato. Il controllo fallisce se il backtracking non è abilitato nel cluster. Se si fornisce un valore personalizzato per il `BacktrackWindowInHours` parametro, il controllo passa solo se il cluster viene eseguito a ritroso per il periodo di tempo specificato.
I backup consentono di ripristinare più rapidamente un incidente di sicurezza. Inoltre, rafforzano la resilienza dei sistemi. Il backtracking di Aurora riduce il tempo necessario per ripristinare un database a un determinato punto nel tempo. A tale scopo, non è necessario ripristinare il database.
### Correzione
*Per abilitare il backtracking di Aurora, consulta [Configurazione del backtracking nella Guida per l'utente](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraMySQL.Managing.Backtrack.html#AuroraMySQL.Managing.Backtrack.Configuring) di Amazon Aurora.*
Tieni presente che non puoi abilitare il backtracking su un cluster esistente. Puoi invece creare un clone con il backtracking abilitato. Per ulteriori informazioni sulle limitazioni del backtracking di Aurora, consulta l'elenco delle limitazioni in [Panoramica](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraMySQL.Managing.Backtrack.html) del backtracking.
## [RDS.15] I cluster RDS DB devono essere configurati per più zone di disponibilità
**Requisiti correlati:** CIS AWS Foundations Benchmark v5.0.0/2.2.4, 6, (2), NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 NIST.800-53.r5 SI-13 (5) NIST.800-53.r5 SC-5
**Categoria**: Recupero > Resilienza > Alta disponibilità
**Gravità:** media
**Tipo di risorsa:** `AWS::RDS::DBCluster`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-multi-az-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-multi-az-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se l'alta disponibilità è abilitata per i cluster DB RDS. Il controllo ha esito negativo se un cluster RDS DB non è distribuito in più zone di disponibilità (). AZs
I cluster RDS DB devono essere configurati per più cluster per AZs garantire la disponibilità dei dati archiviati. L'implementazione su più piattaforme AZs consente il failover automatico in caso di problemi di disponibilità di AZ e durante i normali eventi di manutenzione RDS.
### Correzione
Per distribuire i tuoi cluster DB in più AZs, [modifica di un'istanza DB in un'istanza DB Multi-AZ nella *Amazon* RDS User](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Concepts.MultiAZSingleStandby.html#Concepts.MultiAZ.Migrating) Guide.
I passaggi di riparazione sono diversi per i database globali di Aurora. Per configurare più zone di disponibilità per un database globale Aurora, seleziona il tuo cluster DB. Quindi, scegli **Azioni** e **Aggiungi lettore** e specificane più AZs. Per ulteriori informazioni, consulta [Aggiungere repliche Aurora a un cluster DB](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/aurora-replicas-adding.html) nella *Amazon* Aurora User Guide.
## [RDS.16] I cluster Aurora DB devono essere configurati per copiare i tag nelle istantanee del DB
**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2 (2)
**Categoria:** Identificazione > Inventario
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::RDS::DBCluster`
**AWS Config regola:** `rds-cluster-copy-tags-to-snapshots-enabled` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:** nessuno
Questo controllo verifica se un cluster Amazon Aurora DB è configurato per copiare automaticamente i tag negli snapshot del cluster DB al momento della creazione degli snapshot. Il controllo fallisce se il cluster Aurora DB non è configurato per copiare automaticamente i tag nelle istantanee del cluster al momento della creazione delle istantanee.
L'identificazione e l'inventario delle risorse IT sono un aspetto cruciale della governance e della sicurezza. Devi avere la visibilità di tutti i tuoi cluster Amazon Aurora DB in modo da poterne valutare il livello di sicurezza e intervenire su potenziali aree di debolezza. Le istantanee di Aurora DB devono avere gli stessi tag dei cluster DB principali. In Amazon Aurora, puoi configurare un cluster DB per copiare automaticamente tutti i tag del cluster negli snapshot del cluster. L'attivazione di questa impostazione garantisce che gli snapshot DB ereditino gli stessi tag dei cluster DB principali.
### Correzione
*Per informazioni sulla configurazione di un cluster Amazon Aurora DB per copiare automaticamente i tag negli snapshot DB, [consulta Modifying an Amazon Aurora DB cluster nella Amazon Aurora](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Modifying.html) User Guide.*
## [RDS.17] Le istanze DB RDS devono essere configurate per copiare i tag negli snapshot
**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2 (2)
**Categoria:** Identificazione > Inventario
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::RDS::DBInstance`
**AWS Config regola:** `rds-instance-copy-tags-to-snapshots-enabled` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:** nessuno
Questo controllo verifica se le istanze DB RDS sono configurate per copiare tutti i tag nelle istantanee al momento della creazione delle istantanee.
L'identificazione e l'inventario delle risorse IT sono un aspetto cruciale della governance e della sicurezza. È necessario disporre della visibilità di tutte le istanze DB RDS in modo da poterne valutare il livello di sicurezza e intervenire sulle potenziali aree di debolezza. Le istantanee devono essere etichettate nello stesso modo delle istanze del database RDS principale. L'attivazione di questa impostazione garantisce che le istantanee ereditino i tag delle istanze di database principali.
### Correzione
*Per copiare automaticamente i tag negli snapshot per un'istanza DB RDS, consulta [Modifying an Amazon RDS DB Instance nella Amazon RDS User](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.DBInstance.Modifying.html) Guide.* **Seleziona Copia i tag negli snapshot.**
## [RDS.18] Le istanze RDS devono essere distribuite in un VPC
**Categoria:** Protezione > Configurazione di rete sicura > Risorse all'interno del VPC
**Gravità:** alta
**Tipo di risorsa:** `AWS::RDS::DBInstance`
**AWS Config regola:** `rds-deployed-in-vpc` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:** nessuno
Questo controllo verifica se un'istanza Amazon RDS è distribuita su un VPC EC2.
I VPC forniscono una serie di controlli di rete per proteggere l'accesso alle risorse RDS. Questi controlli includono endpoint VPC, ACL di rete e gruppi di sicurezza. Per sfruttare questi controlli, ti consigliamo di creare le tue istanze RDS su un EC2-VPC.
### Correzione
*Per istruzioni su come spostare le istanze RDS su un VPC, consulta Aggiornamento [del VPC per un'istanza DB nella](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_VPC.VPC2VPC.html) Amazon RDS User Guide.*
## [RDS.19] Le sottoscrizioni esistenti per le notifiche di eventi RDS devono essere configurate per gli eventi critici del cluster
**Requisiti correlati**:, NIST.800-53.R5 SI-2 NIST.800-53.r5 CA-7
**Categoria: Rileva > Servizi** di rilevamento > Monitoraggio delle applicazioni
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::RDS::EventSubscription`
**AWS Config regola:** `rds-cluster-event-notifications-configured` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:** nessuno
Questo controllo verifica se un abbonamento a eventi Amazon RDS esistente per cluster di database ha le notifiche abilitate per le seguenti coppie chiave-valore del tipo di origine e della categoria di evento:
```
DBCluster: ["maintenance","failure"]
```
Il controllo passa se non ci sono abbonamenti a eventi esistenti nel tuo account.
Le notifiche degli eventi RDS utilizzano Amazon SNS per informarti dei cambiamenti nella disponibilità o nella configurazione delle tue risorse RDS. Queste notifiche consentono una risposta rapida. Per ulteriori informazioni sulle notifiche degli eventi RDS, consulta [Using Amazon RDS event notification](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.html) nella *Amazon RDS* User Guide.
### Correzione
Per iscriverti alle notifiche degli eventi del cluster RDS, consulta la sezione [Sottoscrizione alla notifica degli eventi di Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.Subscribing.html) nella *Amazon RDS* User Guide. Utilizzare i seguenti valori:
| Campo | Valore |
| --- | --- |
| Source type (Tipo di origine) | Cluster |
| Cluster da includere | Tutti i cluster |
| Categorie di eventi da includere | Seleziona categorie di eventi specifiche o Tutte le categorie di eventi |
## [RDS.20] Le sottoscrizioni di notifica degli eventi RDS esistenti devono essere configurate per gli eventi critici delle istanze di database
**Requisiti correlati: NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-2**, PCI DSS v4.0.1/11.5.2
**Categoria**: Rileva > Servizi di rilevamento > Monitoraggio delle applicazioni
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::RDS::EventSubscription`
**AWS Config regola:** `rds-instance-event-notifications-configured` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:** nessuno
Questo controllo verifica se un abbonamento ad eventi Amazon RDS esistente per le istanze di database ha le notifiche abilitate per le seguenti coppie chiave-valore del tipo di origine e della categoria di evento:
```
DBInstance: ["maintenance","configuration change","failure"]
```
Il controllo passa se non ci sono abbonamenti a eventi esistenti nel tuo account.
Le notifiche degli eventi RDS utilizzano Amazon SNS per informarti dei cambiamenti nella disponibilità o nella configurazione delle tue risorse RDS. Queste notifiche consentono una risposta rapida. Per ulteriori informazioni sulle notifiche degli eventi RDS, consulta [Using Amazon RDS event notification](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.html) nella *Amazon RDS* User Guide.
### Correzione
Per iscriverti alle notifiche degli eventi delle istanze RDS, consulta la sezione [Sottoscrizione alla notifica degli eventi di Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.Subscribing.html) nella *Amazon RDS* User Guide. Utilizzare i seguenti valori:
| Campo | Valore |
| --- | --- |
| Source type (Tipo di origine) | Istanze |
| Istanze da includere | Tutte le istanze |
| Categorie di eventi da includere | Seleziona categorie di eventi specifiche o Tutte le categorie di eventi |
## [RDS.21] È necessario configurare un abbonamento alle notifiche di eventi RDS per gli eventi critici del gruppo di parametri del database
**Requisiti correlati: NIST.800-53.r5 CA-7, NIST.800-53.r5** SI-2, PCI DSS v4.0.1/11.5.2
**Categoria**: Rileva > Servizi di rilevamento > Monitoraggio delle applicazioni
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::RDS::EventSubscription`
**AWS Config regola:** `rds-pg-event-notifications-configured` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:** nessuno
Questo controllo verifica se esiste un abbonamento ad Amazon RDS per eventi con le notifiche abilitate per le seguenti coppie chiave-valore per tipo di sorgente, categoria di evento. Il controllo passa se non ci sono abbonamenti a eventi esistenti nel tuo account.
```
DBParameterGroup: ["configuration change"]
```
Le notifiche degli eventi RDS utilizzano Amazon SNS per informarti dei cambiamenti nella disponibilità o nella configurazione delle tue risorse RDS. Queste notifiche consentono una risposta rapida. Per ulteriori informazioni sulle notifiche degli eventi RDS, consulta [Using Amazon RDS event notification](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.html) nella *Amazon RDS* User Guide.
### Correzione
Per iscriverti alle notifiche degli eventi dei gruppi di parametri del database RDS, consulta la sezione [Sottoscrizione alla notifica degli eventi di Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.Subscribing.html) nella *Amazon RDS* User Guide. Utilizzare i seguenti valori:
| Campo | Valore |
| --- | --- |
| Source type (Tipo di origine) | Gruppi di parametri |
| Gruppi di parametri da includere | Tutti i gruppi di parametri |
| Categorie di eventi da includere | Seleziona categorie di eventi specifiche o Tutte le categorie di eventi |
## [RDS.22] È necessario configurare un abbonamento alle notifiche di eventi RDS per gli eventi critici dei gruppi di sicurezza del database
**Requisiti correlati: NIST.800-53.r5 CA-7, NIST.800-53.r5** SI-2, PCI DSS v4.0.1/11.5.2
**Categoria**: Rileva > Servizi di rilevamento > Monitoraggio delle applicazioni
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::RDS::EventSubscription`
**AWS Config regola:** `rds-sg-event-notifications-configured` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:** nessuno
Questo controllo verifica se esiste un abbonamento ad Amazon RDS per eventi con le notifiche abilitate per le seguenti coppie chiave-valore per tipo di sorgente, categoria di evento. Il controllo passa se non ci sono abbonamenti a eventi esistenti nel tuo account.
```
DBSecurityGroup: ["configuration change","failure"]
```
Le notifiche degli eventi RDS utilizzano Amazon SNS per informarti dei cambiamenti nella disponibilità o nella configurazione delle tue risorse RDS. Queste notifiche consentono una risposta rapida. Per ulteriori informazioni sulle notifiche degli eventi RDS, consulta [Using Amazon RDS event notification](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.html) nella *Amazon RDS* User Guide.
### Correzione
Per iscriverti alle notifiche degli eventi delle istanze RDS, consulta la sezione [Sottoscrizione alla notifica degli eventi di Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.Subscribing.html) nella *Amazon RDS* User Guide. Utilizzare i seguenti valori:
| Campo | Valore |
| --- | --- |
| Source type (Tipo di origine) | Gruppi di sicurezza |
| Gruppi di sicurezza da includere | Tutti i gruppi di sicurezza |
| Categorie di eventi da includere | Seleziona categorie di eventi specifiche o Tutte le categorie di eventi |
## [RDS.23] Le istanze RDS non devono utilizzare una porta predefinita del motore di database
**Requisiti correlati:** NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5) NIST.800-53.r5 SC-7
**Categoria:** Protezione > Configurazione di rete protetta
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::RDS::DBInstance`
**AWS Config regola:** `rds-no-default-ports` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:** nessuno
Questo controllo verifica se un cluster o un'istanza RDS utilizza una porta diversa dalla porta predefinita del motore di database. Il controllo ha esito negativo se il cluster o l'istanza RDS utilizza la porta predefinita. Questo controllo non si applica alle istanze RDS che fanno parte di un cluster.
Se utilizzi una porta nota per distribuire un cluster o un'istanza RDS, un utente malintenzionato può indovinare le informazioni sul cluster o sull'istanza. L'utente malintenzionato può utilizzare queste informazioni insieme ad altre informazioni per connettersi a un cluster o a un'istanza RDS o ottenere informazioni aggiuntive sull'applicazione.
Quando si modifica la porta, è necessario aggiornare anche le stringhe di connessione esistenti utilizzate per connettersi alla porta precedente. È inoltre necessario controllare il gruppo di sicurezza dell'istanza DB per assicurarsi che includa una regola di ingresso che consenta la connettività sulla nuova porta.
### Correzione
Per modificare la porta predefinita di un'istanza DB RDS esistente, consulta [Modifying an Amazon RDS DB](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.DBInstance.Modifying.html) nella Amazon *RDS User Guide*. *Per modificare la porta predefinita di un cluster RDS DB esistente, consulta [Modificare il cluster DB utilizzando la console, la CLI e l'API](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Modifying.html#Aurora.Modifying.Cluster) nella Guida per l'utente di Amazon Aurora.* Per la **porta del database**, modifica il valore della porta con un valore non predefinito.
## [RDS.24] I cluster di database RDS devono utilizzare un nome utente di amministratore personalizzato
**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, PCI DSS v4.0.1/2.2.2
**Categoria**: Identificazione > Configurazione delle risorse
**Gravità:** media
**Tipo di risorsa:** `AWS::RDS::DBCluster`
**Regola AWS Config : ** `[rds-cluster-default-admin-check](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-default-admin-check.html)`
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un cluster di database Amazon RDS ha modificato il nome utente dell'amministratore rispetto al valore predefinito. Il controllo non si applica ai motori del tipo neptune (Neptune DB) o docdb (DocumentDB). Questa regola avrà esito negativo se il nome utente dell'amministratore è impostato sul valore predefinito.
Quando crei un database Amazon RDS, devi modificare il nome utente amministratore predefinito con un valore univoco. I nomi utente predefiniti sono di dominio pubblico e devono essere modificati durante la creazione del database RDS. La modifica dei nomi utente predefiniti riduce il rischio di accessi involontari.
### Correzione
Per modificare il nome utente di amministratore associato al cluster di database Amazon RDS, [crea un nuovo cluster di database RDS](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.CreateInstance.html) e modifica il nome utente amministratore predefinito durante la creazione del database.
## [RDS.25] Le istanze del database RDS devono utilizzare un nome utente di amministratore personalizzato
**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, PCI DSS v4.0.1/2.2.2
**Categoria**: Identificazione > Configurazione delle risorse
**Gravità:** media
**Tipo di risorsa:** `AWS::RDS::DBInstance`
**Regola AWS Config : ** `[rds-instance-default-admin-check](https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-default-admin-check.html)`
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se hai cambiato il nome utente amministrativo per le istanze di database Amazon Relational Database Service (Amazon RDS) rispetto al valore predefinito. Il controllo fallisce se il nome utente amministrativo è impostato sul valore predefinito. Il controllo non si applica ai motori del tipo neptune (Neptune DB) o docdb (DocumentDB) e alle istanze RDS che fanno parte di un cluster.
I nomi utente amministrativi predefiniti sui database Amazon RDS sono di dominio pubblico. Quando crei un database Amazon RDS, devi modificare il nome utente amministrativo predefinito con un valore univoco per ridurre il rischio di accessi involontari.
### Correzione
Per modificare il nome utente amministrativo associato a un'istanza di database RDS, [crea prima una nuova istanza di database RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_CreateDBInstance.html). Modifica il nome utente amministrativo predefinito durante la creazione del database.
## [RDS.26] Le istanze DB RDS devono essere protette da un piano di backup
**Categoria:** Recover > Resilience > Backup abilitati
**Requisiti correlati:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-12, NIST.800-53.r5 SI-13 (5)
**Gravità:** media
**Tipo di risorsa:** `AWS::RDS::DBInstance`
**AWS Config regola: [https://docs.aws.amazon.com/config/latest/developerguide/rds-resources-protected-by-backup-plan.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-resources-protected-by-backup-plan.html)**``
**Tipo di pianificazione:** periodica
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| `backupVaultLockCheck` | Il controllo restituisce un `PASSED` risultato se il parametro è impostato su true e la risorsa utilizza AWS Backup Vault Lock. | Booleano | `true` o `false` | Nessun valore predefinito |
Questo controllo valuta se le istanze database di Amazon RDS sono coperte da un piano di backup. Questo controllo fallisce se l'istanza DB RDS non è coperta da un piano di backup. Se si imposta il `backupVaultLockCheck` parametro uguale a`true`, il controllo passa solo se l'istanza è sottoposta a backup in un vault AWS Backup bloccato.
**Nota**
Questo controllo non valuta le istanze di Neptune e DocumentDB. Inoltre, non valuta le istanze DB RDS che sono membri di un cluster.
AWS Backup è un servizio di backup completamente gestito che centralizza e automatizza il backup dei dati in tutto il mondo. Servizi AWS Con AWS Backup, è possibile creare politiche di backup denominate piani di backup. È possibile utilizzare questi piani per definire i requisiti di backup, ad esempio la frequenza con cui eseguire il backup dei dati e la durata di conservazione di tali backup. L'inclusione delle istanze DB RDS in un piano di backup consente di proteggere i dati da perdite o eliminazioni involontarie.
### Correzione
*Per aggiungere un'istanza DB RDS a un piano di AWS Backup backup, consulta [Assegnazione di risorse a un piano di backup nella Guida per gli](https://docs.aws.amazon.com/aws-backup/latest/devguide/assigning-resources.html) sviluppatori.AWS Backup *
## [RDS.27] I cluster RDS DB devono essere crittografati quando sono inattivi
**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-7 (6)
**Categoria: Protezione > Protezione** dei dati > Crittografia di data-at-rest
**Gravità:** media
**Tipo di risorsa:** `AWS::RDS::DBCluster`
**AWS Config regola: [https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-encrypted-at-rest.html)**``
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un cluster DB RDS è crittografato quando è inattivo. Il controllo ha esito negativo se un cluster RDS DB non è crittografato a riposo.
I dati inattivi si riferiscono a tutti i dati archiviati in uno spazio di archiviazione persistente e non volatile per qualsiasi durata. La crittografia aiuta a proteggere la riservatezza di tali dati, riducendo il rischio che un utente non autorizzato possa accedervi. La crittografia dei cluster RDS DB protegge i dati e i metadati dall'accesso non autorizzato. Soddisfa inoltre i requisiti di conformità per la crittografia dei file system di produzione. data-at-rest
### Correzione
È possibile abilitare la crittografia a riposo quando si crea un cluster DB RDS. Non è possibile modificare le impostazioni di crittografia dopo aver creato un cluster. Per ulteriori informazioni, [consulta Encrypting an Amazon Aurora DB](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Overview.Encryption.html#Overview.Encryption.Enabling) cluster nella *Amazon Aurora User Guide*.
## [RDS.28] I cluster RDS DB devono essere etichettati
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::RDS::DBCluster`
**AWS Config regola:** `tagged-rds-dbcluster` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un cluster Amazon RDS DB dispone di tag con le chiavi specifiche definite nel parametro`requiredTagKeys`. Il controllo fallisce se il cluster DB non dispone di chiavi di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il cluster DB non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
Per aggiungere tag a un cluster RDS DB, consulta [Tagging delle risorse Amazon RDS nella Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) User *Guide*.
## [RDS.29] Gli snapshot del cluster RDS DB devono essere etichettati
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::RDS::DBClusterSnapshot`
**AWS Config regola:** `tagged-rds-dbclustersnapshot` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se uno snapshot del cluster Amazon RDS DB contiene tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se lo snapshot del cluster DB non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro. `requiredTagKeys` Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se lo snapshot del cluster DB non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
Per aggiungere tag a uno snapshot del cluster RDS DB, consulta [Tagging delle risorse Amazon RDS nella Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) User *Guide*.
## [RDS.30] Le istanze DB RDS devono essere etichettate
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::RDS::DBInstance`
**AWS Config regola:** `tagged-rds-dbinstance` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un'istanza DB di Amazon RDS ha tag con le chiavi specifiche definite nel parametro`requiredTagKeys`. Il controllo fallisce se l'istanza DB non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'istanza DB non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
Per aggiungere tag a un'istanza DB RDS, consulta [Tagging delle risorse Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) nella *Amazon RDS* User Guide.
## [RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati
**Categoria: Identificazione > Inventario** > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::RDS::DBSecurityGroup`
**AWS Config regola:** `tagged-rds-dbsecuritygroup` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un gruppo di sicurezza Amazon RDS DB dispone di tag con le chiavi specifiche definite nel parametro`requiredTagKeys`. Il controllo fallisce se il gruppo di sicurezza DB non dispone di chiavi di tag o se non dispone di tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il gruppo di sicurezza DB non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
Per aggiungere tag a un gruppo di sicurezza RDS DB, consulta [Tagging delle risorse Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) nella *Amazon RDS* User Guide.
## [RDS.32] Gli snapshot RDS DB devono essere etichettati
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::RDS::DBSnapshot`
**AWS Config regola:** `tagged-rds-dbsnapshot` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se uno snapshot di Amazon RDS DB contiene tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se lo snapshot DB non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro. `requiredTagKeys` Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se lo snapshot DB non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
Per aggiungere tag a uno snapshot DB RDS, consulta [Tagging delle risorse Amazon RDS nella Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) User *Guide*.
## [RDS.33] I gruppi di sottoreti RDS DB devono essere etichettati
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::RDS::DBSubnetGroup`
**AWS Config regola:** `tagged-rds-dbsubnetgroups` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un gruppo di sottoreti Amazon RDS DB dispone di tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se il gruppo di sottoreti DB non dispone di chiavi di tag o se non ha tutte le chiavi specificate nel parametro. `requiredTagKeys` Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il gruppo di sottorete DB non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
Per aggiungere tag a un sottogruppo di database RDS, consulta [Tagging delle risorse Amazon RDS nella Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) User *Guide*.
## [RDS.34] I cluster Aurora MySQL DB devono pubblicare i log di controllo nei registri CloudWatch
**Requisiti correlati:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), (9), NIST.800-53.r5 SI-3 NIST.800-53.r5 AC-6 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-4 NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.2.1
**Categoria:** Identificazione > Registrazione
**Gravità:** media
**Tipo di risorsa:** `AWS::RDS::DBCluster`
**AWS Config regola: [https://docs.aws.amazon.com/config/latest/developerguide/rds-aurora-mysql-audit-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-aurora-mysql-audit-logging-enabled.html)**``
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un cluster Amazon Aurora MySQL DB è configurato per pubblicare log di audit su Amazon Logs. CloudWatch Il controllo fallisce se il cluster non è configurato per pubblicare i log di controllo su Logs. CloudWatch Il controllo non genera risultati per i cluster DB Aurora Serverless v1.
I log di controllo registrano le attività del database, inclusi tentativi di accesso, modifiche dei dati, modifiche dello schema e altri eventi che possono essere verificati per scopi di sicurezza e conformità. Quando configuri un cluster Aurora MySQL DB per pubblicare i log di controllo in un gruppo di log in Amazon CloudWatch Logs, puoi eseguire analisi in tempo reale dei dati di log. CloudWatch Logs conserva i log in uno storage altamente durevole. Puoi anche creare allarmi e visualizzare le metriche in. CloudWatch
**Nota**
Un modo alternativo per pubblicare i log di controllo su CloudWatch Logs consiste nell'abilitare il controllo avanzato e impostare il parametro DB a livello di cluster su. `server_audit_logs_upload` `1` L'impostazione predefinita per è. `server_audit_logs_upload parameter` `0` Tuttavia, per passare questo controllo, si consiglia di utilizzare le seguenti istruzioni di riparazione.
### Correzione
*Per pubblicare i log di audit del cluster Aurora MySQL DB su Logs, CloudWatch consulta Pubblicazione dei log di Amazon Aurora [MySQL su Amazon Logs nella Amazon Aurora](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraMySQL.Integrating.CloudWatch.html) User Guide. CloudWatch *
## [RDS.35] Nei cluster RDS DB deve essere abilitato l'aggiornamento automatico delle versioni secondarie
**Requisiti correlati:** NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2 (2), NIST.800-53.r5 SI-2 (4), NIST.800-53.r5 SI-2 (5), PCI DSS v4.0.1/6.3.3
**Categoria**: Identificazione > Gestione di vulnerabilità, patch e versioni
**Gravità:** media
**Tipo di risorsa:** `AWS::RDS::DBCluster`
**AWS Config regola: [https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-auto-minor-version-upgrade-enable.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-auto-minor-version-upgrade-enable.html)**``
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se l'aggiornamento automatico della versione secondaria è abilitato per un cluster Amazon RDS Multi-AZ DB. Il controllo fallisce se l'aggiornamento automatico della versione secondaria non è abilitato per il cluster DB Multi-AZ.
RDS fornisce l'aggiornamento automatico delle versioni secondarie in modo da poter mantenere aggiornato il cluster DB Multi-AZ. Le versioni minori possono introdurre nuove funzionalità software, correzioni di bug, patch di sicurezza e miglioramenti delle prestazioni. Abilitando l'aggiornamento automatico delle versioni secondarie sui cluster di database RDS, il cluster, insieme alle istanze del cluster, riceverà aggiornamenti automatici alla versione secondaria quando saranno disponibili nuove versioni. Gli aggiornamenti vengono applicati automaticamente durante la finestra di manutenzione.
### Correzione
Per abilitare l'aggiornamento automatico delle versioni secondarie sui cluster DB Multi-AZ, consulta [Modificare un cluster DB Multi-AZ nella](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/modify-multi-az-db-cluster.html) *Amazon* RDS User Guide.
## [RDS.36] Le istanze DB di RDS per PostgreSQL devono pubblicare i log nei log CloudWatch
**Requisiti correlati: PCI DSS** v4.0.1/10.4.2
**Categoria:** Identificazione > Registrazione
**Gravità:** media
**Tipo di risorsa:** `AWS::RDS::DBInstance`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-postgresql-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-postgresql-logs-to-cloudwatch.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| `logTypes` | Elenco separato da virgole dei tipi di log da pubblicare in Logs CloudWatch | StringList | Non personalizzabile | `postgresql` |
Questo controllo verifica se un'istanza DB Amazon RDS for PostgreSQL è configurata per pubblicare log su Amazon Logs. CloudWatch Il controllo fallisce se l'istanza DB PostgreSQL non è configurata per pubblicare i tipi di log menzionati nel parametro su Logs. `logTypes` CloudWatch
La registrazione del database fornisce registrazioni dettagliate delle richieste effettuate a un'istanza RDS. PostgreSQL genera registri degli eventi che contengono informazioni utili per gli amministratori. La pubblicazione di questi log su CloudWatch Logs centralizza la gestione dei log e consente di eseguire analisi in tempo reale dei dati di registro. CloudWatch Logs conserva i log in uno spazio di archiviazione estremamente durevole. Puoi anche creare allarmi e visualizzare le metriche in. CloudWatch
### Correzione
*Per pubblicare i log delle istanze di PostgreSQL DB in Logs, consulta Pubblicazione dei log di [PostgreSQL su Amazon CloudWatch Logs nella Amazon RDS User Guide](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.Concepts.PostgreSQL.html#USER_LogAccess.Concepts.PostgreSQL.PublishtoCloudWatchLogs). CloudWatch *
## [RDS.37] I cluster Aurora PostgreSQL DB devono pubblicare i log nei log CloudWatch
**Requisiti correlati: PCI DSS** v4.0.1/10.4.2
**Categoria:** Identificazione > Registrazione
**Gravità:** media
**Tipo di risorsa:** `AWS::RDS::DBCluster`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-aurora-postgresql-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-aurora-postgresql-logs-to-cloudwatch.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un cluster Amazon Aurora PostgreSQL DB è configurato per pubblicare log su Amazon Logs. CloudWatch Il controllo fallisce se il cluster Aurora PostgreSQL DB non è configurato per pubblicare i log PostgreSQL su Logs. CloudWatch
La registrazione del database fornisce registrazioni dettagliate delle richieste effettuate a un cluster RDS. Aurora PostgreSQL genera registri degli eventi che contengono informazioni utili per gli amministratori. La pubblicazione di questi log su Logs centralizza la gestione CloudWatch dei log e consente di eseguire analisi in tempo reale dei dati di registro. CloudWatch Logs conserva i log in uno spazio di archiviazione estremamente durevole. Puoi anche creare allarmi e visualizzare le metriche in. CloudWatch
### Correzione
*Per pubblicare i log del cluster Aurora PostgreSQL DB su Logs, consulta CloudWatch Pubblicazione dei log di Aurora PostgreSQL su Amazon Logs nella Amazon [RDS User Guide](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraPostgreSQL.CloudWatch.html). CloudWatch *
## [RDS.38] Le istanze DB di RDS per PostgreSQL devono essere crittografate in transito
**Categoria: Protezione > Protezione dei dati > Crittografia** di data-in-transit
**Gravità:** media
**Tipo di risorsa:** `AWS::RDS::DBInstance`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-postgres-instance-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-postgres-instance-encrypted-in-transit.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se una connessione a un'istanza di Amazon RDS for PostgreSQL database (DB) è crittografata in transito. Il controllo ha esito negativo se il `rds.force_ssl` parametro per il gruppo di parametri associato all'istanza è impostato su `0` (off). Questo controllo non valuta le istanze DB RDS che fanno parte di un cluster DB.
I dati in transito si riferiscono ai dati che si spostano da una posizione all'altra, ad esempio tra i nodi del cluster o tra il cluster e l'applicazione. I dati possono spostarsi su Internet o all'interno di una rete privata. La crittografia dei dati in transito riduce il rischio che un utente non autorizzato possa intercettare il traffico di rete.
### Correzione
*Per richiedere che tutte le connessioni alla tua istanza DB RDS for PostgreSQL utilizzino SSL, consulta Using [SSL with a PostgreSQL DB nella Amazon RDS User Guide](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/PostgreSQL.Concepts.General.SSL.html).*
## [RDS.39] Le istanze DB di RDS per MySQL devono essere crittografate in transito
**Categoria:** Protezione > Protezione dei dati > Crittografia di data-in-transit
**Gravità:** media
**Tipo di risorsa:** `AWS::RDS::DBInstance`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-mysql-instance-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-mysql-instance-encrypted-in-transit.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se una connessione a un'istanza di Amazon RDS for MySQL database (DB) è crittografata in transito. Il controllo ha esito negativo se il `rds.require_secure_transport` parametro per il gruppo di parametri associato all'istanza è impostato su `0` (off). Questo controllo non valuta le istanze DB RDS che fanno parte di un cluster DB.
I dati in transito si riferiscono ai dati che si spostano da una posizione all'altra, ad esempio tra i nodi del cluster o tra il cluster e l'applicazione. I dati possono spostarsi su Internet o all'interno di una rete privata. La crittografia dei dati in transito riduce il rischio che un utente non autorizzato possa intercettare il traffico di rete.
### Correzione
*Per richiedere che tutte le connessioni alla tua istanza DB RDS for MySQL utilizzino SSL, consulta il [supporto SSL/TLS per le istanze DB MySQL su Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/MySQL.Concepts.SSLSupport.html) nella Amazon RDS User Guide.*
## [RDS.40] Le istanze DB di RDS per SQL Server devono pubblicare i log nei log CloudWatch
**Requisiti correlati:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), (10), NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8)
**Categoria:** Identificazione > Registrazione
**Gravità:** media
**Tipo di risorsa:** `AWS::RDS::DBInstance`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-sql-server-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-sql-server-logs-to-cloudwatch.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| `logTypes` | Un elenco dei tipi di log che un'istanza DB di RDS per SQL Server deve essere configurata per pubblicare nei registri. CloudWatch Questo controllo ha esito negativo se un'istanza DB non è configurata per pubblicare un tipo di log specificato nell'elenco. | EnumList (massimo 2 elementi) | `agent`, `error` | `agent`, `error` |
Questo controllo verifica se un'istanza DB di Amazon RDS for Microsoft SQL Server è configurata per pubblicare log su Amazon CloudWatch Logs. Il controllo fallisce se l'istanza DB RDS per SQL Server non è configurata per pubblicare log su Logs. CloudWatch Facoltativamente, è possibile specificare i tipi di log per cui un'istanza DB deve essere configurata per la pubblicazione.
La registrazione del database fornisce record dettagliati delle richieste effettuate a un'istanza database Amazon RDS. La pubblicazione dei log su CloudWatch Logs centralizza la gestione dei log e consente di eseguire analisi in tempo reale dei dati di log. CloudWatch Logs conserva i log in uno spazio di archiviazione altamente durevole. Inoltre, è possibile utilizzarlo per creare allarmi per errori specifici che possono verificarsi, ad esempio riavvii frequenti registrati in un registro degli errori. Allo stesso modo, è possibile creare allarmi per errori o avvisi registrati nei registri degli agenti di SQL Server relativi ai processi di SQL Agent.
### Correzione
Per informazioni sulla pubblicazione dei log in CloudWatch Logs per un'istanza DB RDS for SQL Server, consulta i file di [log del database Amazon RDS for Microsoft SQL Server nella Amazon Relational Database](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.Concepts.SQLServer.html) *Service User* Guide.
## [RDS.41] Le istanze RDS per SQL Server DB devono essere crittografate in transito
**Categoria:** Protezione > Protezione dei dati > Crittografia di data-in-transit
**Gravità:** media
**Tipo di risorsa:** `AWS::RDS::DBInstance`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-sqlserver-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-sqlserver-encrypted-in-transit.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se una connessione a un'istanza DB di Amazon RDS for Microsoft SQL Server è crittografata in transito. Il controllo fallisce se il `rds.force_ssl` parametro del gruppo di parametri associato all'istanza DB è impostato `0 (off)` su.
I dati in transito si riferiscono ai dati che si spostano da una posizione all'altra, ad esempio tra i nodi di un cluster DB o tra un cluster DB e un'applicazione client. I dati possono spostarsi su Internet o all'interno di una rete privata. La crittografia dei dati in transito riduce il rischio che utenti non autorizzati intercettino il traffico di rete.
### Correzione
Per informazioni sull'abilitazione SSL/TLS delle connessioni alle istanze DB di Amazon RDS che eseguono Microsoft SQL Server, consulta [Using SSL with a Microsoft SQL Server DB](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/SQLServer.Concepts.General.SSL.Using.html) nella *Amazon Relational* Database Service User Guide.
## [RDS.42] Le istanze RDS per MariaDB DB dovrebbero pubblicare i log su Logs CloudWatch
**Requisiti correlati:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), (9), NIST.800-53.r5 AC-6 (10), NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 CA-7 NIST.800-53.r5 NIST.800-53.r5 SC-7 SI-3 (8), NIST.800-53.r5 SI-4 NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SI-7 (8)
**Categoria:** Identificazione > Registrazione
**Gravità:** media
**Tipo di risorsa:** `AWS::RDS::DBInstance`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/mariadb-publish-logs-to-cloudwatch-logs.html](https://docs.aws.amazon.com/config/latest/developerguide/mariadb-publish-logs-to-cloudwatch-logs.html)
**Tipo di pianificazione:** periodica
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| `logTypes` | Un elenco dei tipi di log che un'istanza DB MariaDB deve essere configurata per pubblicare su Logs. CloudWatch Il controllo genera un `FAILED` risultato se un'istanza DB non è configurata per pubblicare un tipo di log specificato nell'elenco. | EnumList (massimo 4 elementi) | `audit`, `error`, `general`, `slowquery` | `audit, error` |
Questo controllo verifica se un'istanza Amazon RDS for MariaDB DB è configurata per pubblicare determinati tipi di log su Amazon Logs. CloudWatch Il controllo fallisce se l'istanza di MariaDB DB non è configurata per pubblicare i log su Logs. CloudWatch Puoi facoltativamente specificare quali tipi di log deve essere configurata per la pubblicazione di un'istanza DB MariaDB.
La registrazione del database fornisce record dettagliati delle richieste effettuate a un'istanza Amazon RDS for MariaDB DB. La pubblicazione dei log su Amazon CloudWatch Logs centralizza la gestione dei log e consente di eseguire analisi in tempo reale dei dati di log. Inoltre, CloudWatch Logs conserva i log in uno storage durevole, che può supportare revisioni e verifiche di sicurezza, accesso e disponibilità. Con CloudWatch Logs, puoi anche creare allarmi e rivedere le metriche.
### Correzione
*Per informazioni sulla configurazione di un'istanza Amazon RDS for MariaDB DB per pubblicare i log su Amazon Logs, consulta [Pubblicazione dei log di MariaDB CloudWatch su Amazon Logs nella Amazon CloudWatch Relational Database Service User Guide](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.MariaDB.PublishtoCloudWatchLogs.html).*
## [RDS.43] I proxy RDS DB devono richiedere la crittografia TLS per le connessioni
**Categoria:** Proteggi > Protezione dei dati > Crittografia di data-in-transit
**Gravità:** media
**Tipo di risorsa:** `AWS::RDS::DBProxy`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-proxy-tls-encryption.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-proxy-tls-encryption.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se un proxy Amazon RDS DB richiede TLS per tutte le connessioni tra il proxy e l'istanza database RDS sottostante. Il controllo fallisce se il proxy non richiede TLS per tutte le connessioni tra il proxy e l'istanza DB RDS.
Amazon RDS Proxy può fungere da ulteriore livello di sicurezza tra le applicazioni client e le istanze DB RDS sottostanti. Ad esempio, puoi connetterti a un proxy RDS utilizzando TLS 1.3, anche se l'istanza DB sottostante supporta una versione precedente di TLS. Utilizzando RDS Proxy, è possibile applicare requisiti di autenticazione rigorosi per le applicazioni di database.
### Correzione
Per informazioni sulla modifica delle impostazioni affinché un proxy Amazon RDS richieda TLS, consulta [Modifying an RDS proxy](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/rds-proxy-modifying-proxy.html) nella *Amazon Relational Database Service* User Guide.
## [RDS.44] Le istanze RDS per MariaDB DB devono essere crittografate durante il transito
**Categoria:** Protezione > Protezione dei dati > Crittografia di data-in-transit
**Gravità:** media
**Tipo di risorsa:** `AWS::RDS::DBInstance`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-mariadb-instance-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-mariadb-instance-encrypted-in-transit.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se le connessioni a un'istanza Amazon RDS for MariaDB DB sono crittografate in transito. Il controllo fallisce se il gruppo di parametri DB associato all'istanza DB non è sincronizzato o il `require_secure_transport` parametro del gruppo di parametri non è impostato su. `ON`
**Nota**
Questo controllo non valuta le istanze DB di Amazon RDS che utilizzano versioni di MariaDB precedenti alla versione 10.5. Il `require_secure_transport` parametro è supportato solo per le versioni di MariadB 10.5 e successive.
I dati in transito si riferiscono ai dati che si spostano da una posizione all'altra, ad esempio tra i nodi di un cluster DB o tra un cluster DB e un'applicazione client. I dati possono spostarsi su Internet o all'interno di una rete privata. La crittografia dei dati in transito riduce il rischio che utenti non autorizzati intercettino il traffico di rete.
### Correzione
*Per informazioni sull'abilitazione SSL/TLS delle connessioni a un'istanza Amazon RDS for MariaDB DB[, SSL/TLS consulta la sezione Richiesta di tutte le connessioni a un'istanza DB MariaDB nella Amazon Relational Database Service](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/mariadb-ssl-connections.require-ssl.html) User Guide.*
## [RDS.45] I cluster Aurora MySQL DB devono avere la registrazione di controllo abilitata
**Requisiti correlati:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8)
**Categoria:** Identificazione > Registrazione
**Gravità:** media
**Tipo di risorsa:** `AWS::RDS::DBCluster`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/aurora-mysql-cluster-audit-logging.html](https://docs.aws.amazon.com/config/latest/developerguide/aurora-mysql-cluster-audit-logging.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se un cluster Amazon Aurora MySQL DB ha la registrazione di controllo abilitata. Il controllo fallisce se il gruppo di parametri DB associato al cluster DB non è sincronizzato, il `server_audit_logging` parametro non è impostato su o il `server_audit_events` parametro è impostato su un valore vuoto. `1`
I log del database possono facilitare i controlli di sicurezza e accesso e aiutare a diagnosticare i problemi di disponibilità. I registri di controllo registrano le attività del database, inclusi i tentativi di accesso, le modifiche dei dati, le modifiche allo schema e altri eventi che possono essere verificati per scopi di sicurezza e conformità.
### Correzione
*Per informazioni sull'abilitazione della registrazione per un cluster Amazon Aurora MySQL DB, consulta Pubblicazione dei log di [Amazon Aurora MySQL su Amazon Logs nella Amazon Aurora User Guide](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraMySQL.Integrating.CloudWatch.html). CloudWatch *
## [RDS.46] Le istanze DB RDS non devono essere distribuite in sottoreti pubbliche con percorsi verso gateway Internet
**Categoria:** Protezione > Configurazione di rete sicura > Risorse non accessibili al pubblico
**Gravità:** alta
**Tipo di risorsa:** `AWS::RDS::DBInstance`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-subnet-igw-check.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-subnet-igw-check.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se un'istanza database Amazon RDS è distribuita in una sottorete pubblica con un percorso verso un gateway Internet. Il controllo ha esito negativo se l'istanza DB RDS viene distribuita in una sottorete con un percorso verso un gateway Internet e la destinazione è impostata su o. `0.0.0.0/0` `::/0`
Effettuando il provisioning delle risorse Amazon RDS in sottoreti private, puoi impedire alle risorse RDS di ricevere traffico in entrata dalla rete Internet pubblica, impedendo così l'accesso involontario alle tue istanze DB RDS. Se le risorse RDS vengono fornite in una sottorete pubblica aperta a Internet, potrebbero essere vulnerabili a rischi come l'esfiltrazione dei dati.
### Correzione
Per informazioni sul provisioning di una sottorete privata per un'istanza DB Amazon RDS, consulta [Working with a DB istance in a VPC](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_VPC.WorkingWithRDSInstanceinaVPC.html) nella *Amazon Relational Database Service* User Guide.
## [RDS.47] I cluster RDS per PostgreSQL DB devono essere configurati per copiare i tag nelle istantanee del DB
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::RDS::DBCluster`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-pgsql-cluster-copy-tags-to-snapshot-check.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-pgsql-cluster-copy-tags-to-snapshot-check.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un cluster Amazon RDS for PostgreSQL DB è configurato per copiare automaticamente i tag negli snapshot del cluster DB al momento della creazione degli snapshot. Il controllo ha esito negativo se il `CopyTagsToSnapshot` parametro è impostato su `false` per il cluster DB RDS for PostgreSQL.
La copia dei tag nelle istantanee del DB aiuta a mantenere il monitoraggio delle risorse, la governance e l'allocazione dei costi corretti tra le risorse di backup. Ciò consente l'identificazione coerente delle risorse, il controllo degli accessi e il monitoraggio della conformità sia nei database attivi che nelle relative istantanee. Le istantanee con tag appropriati migliorano le operazioni di sicurezza assicurando che le risorse di backup ereditino gli stessi metadati dei database di origine.
### Correzione
*Per informazioni sulla configurazione di un cluster Amazon RDS for PostgreSQL DB per copiare automaticamente i tag negli snapshot DB[, consulta Tagging Amazon RDS resources](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) nella Amazon Relational Database Service User Guide.*
## [RDS.48] I cluster RDS per MySQL DB devono essere configurati per copiare i tag nelle istantanee del DB
**Categoria: Identificazione > Inventario > Etichettatura**
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::RDS::DBCluster`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-mysql-cluster-copy-tags-to-snapshot-check.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-mysql-cluster-copy-tags-to-snapshot-check.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un cluster Amazon RDS for MySQL DB è configurato per copiare automaticamente i tag negli snapshot del cluster DB al momento della creazione degli snapshot. Il controllo ha esito negativo se il `CopyTagsToSnapshot` parametro è impostato su `false` per il cluster DB RDS for MySQL.
La copia dei tag nelle istantanee del DB aiuta a mantenere il monitoraggio delle risorse, la governance e l'allocazione dei costi corretti tra le risorse di backup. Ciò consente l'identificazione coerente delle risorse, il controllo degli accessi e il monitoraggio della conformità sia nei database attivi che nelle relative istantanee. Le istantanee con tag appropriati migliorano le operazioni di sicurezza assicurando che le risorse di backup ereditino gli stessi metadati dei database di origine.
### Correzione
*Per informazioni sulla configurazione di un cluster Amazon RDS for MySQL DB per copiare automaticamente i tag negli snapshot DB, [consulta Tagging Amazon RDS resources nella Amazon](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html) Relational Database Service User Guide.*
## [RDS.50] I cluster RDS DB devono avere un periodo di conservazione dei backup sufficiente
**Categoria:** Recover > Resilience > Backup abilitati
**Gravità:** media
**Tipo di risorsa:** `AWS::RDS::DBCluster`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-backup-retention-check.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-backup-retention-check.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| `minimumBackupRetentionPeriod` | Periodo minimo di conservazione del backup, espresso in giorni, per la verifica del controllo | Numero intero | `7` Da a `35` | `7` |
Questo controllo verifica se un cluster RDS DB ha un periodo minimo di conservazione dei backup. Il controllo ha esito negativo se il periodo di conservazione del backup è inferiore al valore del parametro specificato. A meno che non si fornisca un valore di parametro personalizzato, Security Hub utilizza un valore predefinito di 7 giorni.
Questo controllo verifica se un cluster RDS DB ha un periodo minimo di conservazione dei backup. Il controllo ha esito negativo se il periodo di conservazione del backup è inferiore al valore del parametro specificato. A meno che non si fornisca un valore del parametro cliente, Security Hub utilizza un valore predefinito di 7 giorni. Questo controllo si applica a tutti i tipi di cluster RDS DB, inclusi il cluster Aurora DB, i cluster DocumentDB, i cluster NeptuneDB, ecc.
### Correzione
Per configurare il periodo di conservazione dei backup per un cluster RDS DB, modifica le impostazioni del cluster e imposta il periodo di conservazione del backup su almeno 7 giorni (o il valore specificato nel parametro di controllo). Per istruzioni dettagliate, consulta il [periodo di conservazione del backup](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithAutomatedBackups.BackupRetention.html) nella Guida per l'*utente di Amazon Relational Database Service*. *Per i cluster Aurora DB, consulta [Panoramica del backup e del ripristino di un cluster Aurora DB nella Guida per l'utente di Amazon Aurora](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Managing.Backups.html) per Aurora.* Per altri tipi di cluster DB (ad esempio cluster DocumentDB), consulta la guida per l'utente del servizio corrispondente su come aggiornare il periodo di conservazione dei backup per il cluster.
# Controlli CSPM del Security Hub per Amazon Redshift
Questi AWS Security Hub CSPM controlli valutano il servizio e le risorse Amazon Redshift. I controlli potrebbero non essere disponibili in tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [Redshift.1] I cluster Amazon Redshift dovrebbero vietare l'accesso pubblico
**Requisiti correlati:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21), (11) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (16), (20) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS versione 3.2.1/1.2.1, NIST.800-53.r5 SC-7 PCI DSS versione 3.2.1/1.3.1, PCI DSS versione 3.2.1/1.3.2, PCI DSS versione 3.2.1/1.3.4, PCI DSS versione 3.2.1/1.3.4, PCI DSS versione 3.2.1/1.3.4 2.1/1.3.6, PCI DSS versione 4.0.1/1.4.4 NIST.800-53.r5 SC-7
**Categoria:** Protezione > Configurazione di rete sicura > Risorse non accessibili al pubblico
**Severità:** critica
**Tipo di risorsa:** `AWS::Redshift::Cluster`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-public-access-check.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-public-access-check.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se i cluster Amazon Redshift sono accessibili pubblicamente. Valuta il `PubliclyAccessible` campo nell'elemento di configurazione del cluster.
L'`PubliclyAccessible`attributo della configurazione del cluster Amazon Redshift indica se il cluster è accessibile pubblicamente. Quando il cluster è configurato con `PubliclyAccessible` set to`true`, si tratta di un'istanza connessa a Internet con un nome DNS risolvibile pubblicamente, che si risolve in un indirizzo IP pubblico.
Quando il cluster non è accessibile pubblicamente, si tratta di un'istanza interna con un nome DNS che si risolve in un indirizzo IP privato. A meno che non si intenda rendere il cluster accessibile pubblicamente, il cluster non deve essere configurato con `PubliclyAccessible` set to. `true`
### Correzione
Per aggiornare un cluster Amazon Redshift per disabilitare l'accesso pubblico, consulta [Modifying a cluster](https://docs.aws.amazon.com/redshift/latest/mgmt/managing-clusters-console.html#modify-cluster) nella *Amazon* Redshift Management Guide. **Imposta l'**accesso pubblico** su No.**
## [Redshift.2] Le connessioni ai cluster Amazon Redshift devono essere crittografate in transito
**Requisiti correlati:** NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3 (3), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-7 (1), NIST.800-53.r5 SC-8 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 PCI DSS v4.0.1/4.2.1
**Categoria: Protezione > Protezione dei dati > Crittografia** di data-in-transit
**Gravità:** media
**Tipo di risorsa:** `AWS::Redshift::Cluster` `AWS::Redshift::ClusterParameterGroup`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-require-tls-ssl.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-require-tls-ssl.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se le connessioni ai cluster Amazon Redshift sono necessarie per utilizzare la crittografia in transito. Il controllo ha esito negativo se il parametro del cluster Amazon Redshift `require_SSL` non è impostato su. `True`
Il TLS può essere usato per impedire a potenziali aggressori di utilizzare person-in-the-middle o attacchi simili per intercettare o manipolare il traffico di rete. Dovrebbero essere consentite solo le connessioni crittografate tramite TLS. La crittografia dei dati in transito può influire sulle prestazioni. È consigliabile testare l'applicazione con questa funzionalità per comprendere il profilo delle prestazioni e l'impatto del TLS.
### Correzione
Per aggiornare un gruppo di parametri Amazon Redshift per richiedere la crittografia, consulta [Modificare un gruppo di parametri](https://docs.aws.amazon.com/redshift/latest/mgmt/managing-parameter-groups-console.html#parameter-group-modify) nella *Amazon* Redshift Management Guide. **Impostato su `require_ssl` True.**
## [Redshift.3] I cluster Amazon Redshift devono avere le istantanee automatiche abilitate
**Requisiti correlati:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), (10), NIST.800-53.r5 SC-7 NIST.800-53.R5 SI-13 (5)
**Categoria: Recover > Resilience > Backup abilitati**
**Gravità:** media
**Tipo di risorsa:** `AWS::Redshift::Cluster`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-backup-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-backup-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| `MinRetentionPeriod` | Periodo minimo di conservazione delle istantanee in giorni | Numero intero | `7` Da a `35` | `7` |
Questo controllo verifica se un cluster Amazon Redshift ha abilitato le istantanee automatiche e un periodo di conservazione maggiore o uguale al periodo di tempo specificato. Il controllo fallisce se le istantanee automatiche non sono abilitate per il cluster o se il periodo di conservazione è inferiore al periodo di tempo specificato. A meno che non si fornisca un valore di parametro personalizzato per il periodo di conservazione delle istantanee, Security Hub CSPM utilizza un valore predefinito di 7 giorni.
I backup consentono di ripristinare più rapidamente un incidente di sicurezza. Rafforzano la resilienza dei sistemi. Amazon Redshift acquisisce istantanee periodiche per impostazione predefinita. Questo controllo verifica se le istantanee automatiche sono abilitate e conservate per almeno sette giorni. *Per ulteriori dettagli sugli snapshot automatizzati di Amazon Redshift, consulta la sezione Istantanee [automatizzate](https://docs.aws.amazon.com/redshift/latest/mgmt/working-with-snapshots.html#about-automated-snapshots) nella Amazon Redshift Management Guide.*
### Correzione
Per aggiornare il periodo di conservazione degli snapshot per un cluster Amazon Redshift, [consulta Modifying a](https://docs.aws.amazon.com/redshift/latest/mgmt/managing-clusters-console.html#modify-cluster) cluster nella Amazon *Redshift* Management Guide. Per **Backup**, imposta la **conservazione delle istantanee** su un valore pari o superiore a 7.
## [Redshift.4] I cluster Amazon Redshift devono avere la registrazione di controllo abilitata
**Requisiti correlati:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), (9), NIST.800-53.r5 AC-6 NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.2.1
**Categoria:** Identificazione > Registrazione
**Gravità:** media
**Tipo di risorsa:** `AWS::Redshift::Cluster`
**AWS Config regola:** `redshift-cluster-audit-logging-enabled` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:** nessuno
Questo controllo verifica se in un cluster Amazon Redshift è abilitata la registrazione di audit.
La registrazione di controllo di Amazon Redshift fornisce informazioni aggiuntive sulle connessioni e sulle attività degli utenti nel cluster. Questi dati possono essere archiviati e protetti in Amazon S3 e possono essere utili per controlli e indagini di sicurezza. Per ulteriori informazioni, consulta [Database audit logging](https://docs.aws.amazon.com/redshift/latest/mgmt/db-auditing.html) nella *Amazon Redshift* Management Guide.
### Correzione
Per configurare la registrazione di audit per un cluster Amazon Redshift, [consulta Configurazione del controllo con la](https://docs.aws.amazon.com/redshift/latest/mgmt/db-auditing-console.html) console nella Amazon *Redshift* Management Guide.
## [Redshift.6] Amazon Redshift dovrebbe avere gli upgrade automatici alle versioni principali abilitati
**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2 (2), NIST.800-53.r5 SI-2 (4), NIST.800-53.r5 SI-2 (5)
**Categoria**: Identificazione > Gestione delle vulnerabilità, delle patch e delle versioni
**Gravità:** media
**Tipo di risorsa:** `AWS::Redshift::Cluster`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-maintenancesettings-check.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-maintenancesettings-check.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
+ `allowVersionUpgrade = true`(non personalizzabile)
Questo controllo verifica se gli upgrade automatici delle versioni principali sono abilitati per il cluster Amazon Redshift.
L'abilitazione degli aggiornamenti automatici delle versioni principali garantisce che gli ultimi aggiornamenti delle versioni principali dei cluster Amazon Redshift vengano installati durante la finestra di manutenzione. Questi aggiornamenti potrebbero includere patch di sicurezza e correzioni di bug. Mantenersi aggiornati sull'installazione delle patch è un passaggio importante per proteggere i sistemi.
### Correzione
Per risolvere questo problema da AWS CLI, usa il comando Amazon `modify-cluster` Redshift e imposta `--allow-version-upgrade` l'attributo. `clustername`è il nome del tuo cluster Amazon Redshift.
```
aws redshift modify-cluster --cluster-identifier clustername --allow-version-upgrade
```
## [Redshift.7] I cluster Redshift devono utilizzare un routing VPC avanzato
**Requisiti correlati:** NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 SC-7 (11) NIST.800-53.r5 SC-7, (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7
**Categoria:** Protezione > Configurazione di rete sicura > Accesso privato alle API
**Gravità:** media
**Tipo di risorsa:** `AWS::Redshift::Cluster`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-enhanced-vpc-routing-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-enhanced-vpc-routing-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un cluster Amazon Redshift è `EnhancedVpcRouting` abilitato.
Il routing VPC migliorato impone a tutto il `UNLOAD` traffico tra il cluster `COPY` e gli archivi di dati di passare attraverso il tuo VPC. Puoi quindi utilizzare funzionalità VPC come gruppi di sicurezza e liste di controllo degli accessi alla rete per proteggere il traffico di rete. Puoi anche utilizzare VPC Flow Logs per monitorare il traffico di rete.
### Correzione
Per istruzioni dettagliate sulla riparazione, consulta Enhancing [Enhanced VPC](https://docs.aws.amazon.com/redshift/latest/mgmt/enhanced-vpc-enabling-cluster.html) routing nella Amazon *Redshift* Management Guide.
## [Redshift.8] I cluster Amazon Redshift non devono utilizzare il nome utente predefinito di amministratore
**Requisiti correlati: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5** CM-2
**Categoria**: Identifica > Configurazione delle risorse
**Gravità:** media
**Tipo di risorsa:** `AWS::Redshift::Cluster`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-default-admin-check.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-default-admin-check.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un cluster Amazon Redshift ha modificato il nome utente dell'amministratore rispetto al valore predefinito. Questo controllo avrà esito negativo se il nome utente di amministratore per un cluster Redshift è impostato su. `awsuser`
Quando si crea un cluster Redshift, è necessario modificare il nome utente amministratore predefinito con un valore univoco. I nomi utente predefiniti sono di dominio pubblico e devono essere modificati al momento della configurazione. La modifica dei nomi utente predefiniti riduce il rischio di accessi involontari.
### Correzione
Non puoi modificare il nome utente di amministratore per il tuo cluster Amazon Redshift dopo averlo creato. Per creare un nuovo cluster con un nome utente non predefinito, consulta la [Fase 1: Creare un cluster Amazon Redshift di esempio nella Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/gsg/rs-gsg-prereq.html) Getting *Started Guide*.
## [Redshift.10] I cluster Redshift devono essere crittografati a riposo
**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.R5 SI-7 ( NIST.800-53.r5 SC-26)
**Categoria: Protezione > Protezione** dei dati > Crittografia di data-at-rest
**Gravità:** media
**Tipo di risorsa:** `AWS::Redshift::Cluster`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-kms-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-kms-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se i cluster Amazon Redshift sono crittografati quando sono inattivi. Il controllo fallisce se un cluster Redshift non è crittografato a riposo o se la chiave di crittografia è diversa dalla chiave fornita nel parametro della regola.
In Amazon Redshift è possibile attivare la crittografia del database per i cluster per proteggere ulteriormente i dati a riposo. Quando si attiva la crittografia per un cluster, i blocchi di dati e i metadati di sistema vengono crittografati per il cluster e i relativi snapshot. La crittografia dei dati inattivi è una best practice consigliata perché aggiunge un livello di gestione degli accessi ai dati. La crittografia dei cluster Redshift a riposo riduce il rischio che un utente non autorizzato possa accedere ai dati archiviati su disco.
### Correzione
Per modificare un cluster Redshift per utilizzare la crittografia KMS, consulta [Changing cluster encryption](https://docs.aws.amazon.com/redshift/latest/mgmt/changing-cluster-encryption.html) nella *Amazon* Redshift Management Guide.
## [Redshift.11] I cluster Redshift devono essere etichettati
**Categoria: Identificazione > Inventario > Etichettatura**
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::Redshift::Cluster`
**AWS Config regola:** `tagged-redshift-cluster` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | No default value |
Questo controllo verifica se un cluster Amazon Redshift dispone di tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se il cluster non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il cluster non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
*Per aggiungere tag a un cluster Redshift, consulta [Tagging resources in Amazon Redshift nella Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html) Management Guide.*
## [Redshift.12] Le sottoscrizioni alle notifiche degli eventi Redshift devono essere contrassegnate
**Categoria: Identificazione > Inventario > Etichettatura**
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::Redshift::EventSubscription`
**AWS Config regola:** `tagged-redshift-eventsubscription` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | No default value |
Questo controllo verifica se uno snapshot del cluster Amazon Redshift contiene tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se lo snapshot del cluster non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro. `requiredTagKeys` Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se lo snapshot del cluster non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
*Per aggiungere tag a un abbonamento di notifica di eventi Redshift, consulta [Tagging resources in Amazon Redshift nella Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html) Management Guide.*
## [Redshift.13] Le istantanee del cluster Redshift devono essere etichettate
**Categoria: Identificazione > Inventario > Etichettatura**
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::Redshift::ClusterSnapshot`
**AWS Config regola:** `tagged-redshift-clustersnapshot` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | No default value |
Questo controllo verifica se uno snapshot del cluster Amazon Redshift contiene tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se lo snapshot del cluster non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro. `requiredTagKeys` Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se lo snapshot del cluster non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
*Per aggiungere tag a uno snapshot del cluster Redshift, consulta [Tagging resources in Amazon Redshift nella Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html) Management Guide.*
## [Redshift.14] I gruppi di sottoreti del cluster Redshift devono essere etichettati
**Categoria: Identificazione > Inventario > Etichettatura**
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::Redshift::ClusterSubnetGroup`
**AWS Config regola:** `tagged-redshift-clustersubnetgroup` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | No default value |
Questo controllo verifica se un sottogruppo di cluster Amazon Redshift ha tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se il gruppo di sottoreti del cluster non dispone di chiavi di tag o se non ha tutte le chiavi specificate nel parametro. `requiredTagKeys` Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il gruppo di sottorete del cluster non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
*Per aggiungere tag a un sottogruppo di cluster Redshift, consulta [Tagging resources in Amazon Redshift nella Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html) Management Guide.*
## [Redshift.15] I gruppi di sicurezza Redshift dovrebbero consentire l'ingresso sulla porta del cluster solo da origini limitate
Requisiti **correlati**: PCI DSS v4.0.1/1.3.1
**Categoria:** Protezione > Configurazione di rete sicura > Configurazione del gruppo di sicurezza
**Gravità:** alta
**Tipo di risorsa:** `AWS::Redshift::Cluster`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-unrestricted-port-access.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-unrestricted-port-access.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se un gruppo di sicurezza associato a un cluster Amazon Redshift ha regole di ingresso che consentono l'accesso alla porta del cluster da Internet (0.0.0.0/0 o: :/0). Il controllo fallisce se le regole di ingresso del gruppo di sicurezza consentono l'accesso alla porta del cluster da Internet.
Consentire l'accesso in entrata senza restrizioni alla porta del cluster Redshift (indirizzo IP con suffisso /0) può causare accessi non autorizzati o incidenti di sicurezza. Si consiglia di applicare il principio dell'accesso con privilegi minimi durante la creazione di gruppi di sicurezza e la configurazione delle regole in entrata.
### Correzione
Per limitare l'ingresso sulla porta del cluster Redshift a origini limitate, [consulta Work with security group](https://docs.aws.amazon.com/vpc/latest/userguide/security-group-rules.html#working-with-security-group-rules) rules nella *Amazon VPC* User Guide. Aggiorna le regole in cui l'intervallo di porte corrisponde alla porta del cluster Redshift e l'intervallo di porte IP è 0.0.0.0/0.
## [Redshift.16] I sottoreti del cluster Redshift devono avere sottoreti da più zone di disponibilità
**Categoria: Recupero > Resilienza > Alta disponibilità**
**Gravità:** media
**Tipo di risorsa:** `AWS::Redshift::ClusterSubnetGroup`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-subnet-group-multi-az.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-subnet-group-multi-az.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Il controllo verifica se un gruppo di sottoreti del cluster Amazon Redshift ha sottoreti provenienti da più di una zona di disponibilità (AZ). Il controllo fallisce se il gruppo di sottoreti del cluster non dispone di sottoreti provenienti da almeno due sottoreti diverse. AZs
La configurazione di sottoreti su più sottoreti AZs aiuta a garantire che il data warehouse Redshift possa continuare a funzionare anche quando si verificano eventi di errore.
### Correzione
*Per modificare un sottogruppo di cluster Redshift in modo che si estenda su più gruppi AZs, consulta [Modificare un sottogruppo di cluster nella Amazon Redshift Management Guide](https://docs.aws.amazon.com/redshift/latest/mgmt/modify-cluster-subnet-group.html).*
## [Redshift.17] I gruppi di parametri del cluster Redshift devono essere etichettati
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::Redshift::ClusterParameterGroup`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-parameter-group-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-parameter-group-tagged.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Un elenco di chiavi di tag non di sistema che devono essere assegnate a una risorsa valutata. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un gruppo di parametri del cluster Amazon Redshift ha le chiavi dei tag specificate dal `requiredKeyTags` parametro. Il controllo fallisce se il gruppo di parametri non ha alcuna chiave di tag o non ha tutte le chiavi specificate dal `requiredKeyTags` parametro. Se non specificate alcun valore per il `requiredKeyTags` parametro, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il gruppo di parametri non ha alcuna chiave di tag. Il controllo ignora i tag di sistema, che vengono applicati automaticamente e hanno il `aws:` prefisso.
Un tag è un'etichetta che si crea e si assegna a una risorsa. AWS Ogni tag è composto da una chiave di tag obbligatoria e da un valore di tag opzionale. È possibile utilizzare i tag per classificare le risorse in base allo scopo, al proprietario, all'ambiente o ad altri criteri. Possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. Possono anche aiutarti a tenere traccia delle azioni e delle notifiche dei proprietari delle risorse. Puoi anche utilizzare i tag per implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione. *Per ulteriori informazioni sulle strategie ABAC, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella IAM User Guide.* Per ulteriori informazioni sui tag, consulta la Guida per l'utente di [Tagging AWS Resources and Tag Editor](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**Nota**
Non memorizzare informazioni personali identificabili o altre informazioni riservate o sensibili nei tag. I tag sono accessibili da molti Servizi AWS. Non sono destinati a essere utilizzati per dati privati o sensibili.
### Correzione
Per informazioni sull'aggiunta di tag a un gruppo di parametri del cluster Amazon Redshift, consulta [Tag resources in Amazon Redshift nella Amazon](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html) Redshift Management *Guide*.
## [Redshift.18] I cluster Redshift devono avere implementazioni Multi-AZ abilitate
**Categoria: Recupero > Resilienza > Alta disponibilità**
**Gravità:** media
**Tipo di risorsa:** `AWS::Redshift::Cluster`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-multi-az-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-multi-az-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se le implementazioni di più zone di disponibilità (Multi-AZ) sono abilitate per un cluster Amazon Redshift. Il controllo fallisce se le implementazioni Multi-AZ non sono abilitate per il cluster Amazon Redshift.
Amazon Redshift supporta implementazioni di più zone di disponibilità (Multi-AZ) per cluster con provisioning. Se le implementazioni Multi-AZ sono abilitate per un cluster, un data warehouse Amazon Redshift può continuare a funzionare in scenari di errore quando si verifica un evento imprevisto in una zona di disponibilità (AZ). Una distribuzione Multi-AZ distribuisce risorse di elaborazione in più di una zona di disponibilità ed è possibile accedervi tramite un singolo endpoint. In caso di guasto dell'intera zona AZ, le risorse di elaborazione rimanenti in un'altra zona sono disponibili per continuare a elaborare i carichi di lavoro. È possibile convertire un data warehouse Single-AZ esistente in un data warehouse Multi-AZ. Le risorse di elaborazione aggiuntive vengono quindi fornite in una seconda zona di disponibilità.
### Correzione
*Per informazioni sulla configurazione delle implementazioni Multi-AZ per un cluster Amazon Redshift, consulta [Convertire un data warehouse Single-AZ in un data warehouse Multi-AZ nella Amazon Redshift Management Guide](https://docs.aws.amazon.com/redshift/latest/mgmt/convert-saz-to-maz.html).*
# Controlli CSPM del Security Hub per Amazon Redshift Serverless
Questi AWS Security Hub CSPM controlli valutano il servizio e le risorse Amazon Redshift Serverless. I controlli potrebbero non essere disponibili tutti. Regioni AWS Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [RedshiftServerless.1] I gruppi di lavoro Serverless di Amazon Redshift devono utilizzare un routing VPC avanzato
**Categoria:** Protezione > Configurazione di rete sicura > Risorse all'interno del VPC
**Gravità:** alta
**Tipo di risorsa:** `AWS::RedshiftServerless::Workgroup`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-routes-within-vpc.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-routes-within-vpc.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se il routing VPC avanzato è abilitato per un gruppo di lavoro Amazon Redshift Serverless. Il controllo fallisce se il routing VPC avanzato è disabilitato per il gruppo di lavoro.
Se il routing VPC avanzato è disabilitato per un gruppo di lavoro Amazon Redshift Serverless, Amazon Redshift indirizza il traffico attraverso Internet, incluso il traffico verso altri servizi all'interno della rete. AWS Se abiliti il routing VPC avanzato per un gruppo di lavoro, Amazon Redshift impone tutto il `UNLOAD` traffico tra il cluster `COPY` e i tuoi repository di dati attraverso il tuo cloud privato virtuale (VPC) basato sul servizio Amazon VPC. Con il routing VPC migliorato, puoi utilizzare le funzionalità VPC standard per controllare il flusso di dati tra il cluster Amazon Redshift e altre risorse. Ciò include funzionalità come i gruppi di sicurezza VPC e le politiche degli endpoint, le liste di controllo degli accessi alla rete (ACLs) e i server DNS (Domain Name System). Puoi anche utilizzare i log di flusso in VPC per monitorare `COPY` il traffico. `UNLOAD`
### Correzione
*Per ulteriori informazioni sul routing VPC avanzato e su come abilitarlo per un gruppo di lavoro, consulta [Controlling network traffic with Redshift Enhanced VPC routing nella Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/enhanced-vpc-routing.html) Management Guide.*
## [RedshiftServerless.2] Le connessioni ai gruppi di lavoro Serverless Redshift devono essere necessarie per utilizzare SSL
**Categoria:** Protezione > Protezione dei dati > Crittografia di data-in-transit
**Gravità:** media
**Tipo di risorsa:** `AWS::RedshiftServerless::Workgroup`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-encrypted-in-transit.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se le connessioni a un gruppo di lavoro Serverless Amazon Redshift sono necessarie per crittografare i dati in transito. Il controllo fallisce se il parametro di `require_ssl` configurazione per il gruppo di lavoro è impostato su. `false`
Un gruppo di lavoro Serverless di Amazon Redshift è una raccolta di risorse di elaborazione che raggruppa risorse di calcolo come RPUs sottogruppi di sottoreti VPC e gruppi di sicurezza. Le proprietà di un gruppo di lavoro includono le impostazioni di rete e di sicurezza. Queste impostazioni specificano se devono essere necessarie le connessioni a un gruppo di lavoro per utilizzare SSL per crittografare i dati in transito.
### Correzione
*Per informazioni sull'aggiornamento delle impostazioni per un gruppo di lavoro Amazon Redshift Serverless per richiedere connessioni SSL, consulta Connecting to [Amazon Redshift Serverless nella Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-connecting.html) Management Guide.*
## [RedshiftServerless.3] I gruppi di lavoro Serverless di Redshift dovrebbero vietare l'accesso pubblico
**Categoria:** Protezione > Configurazione di rete sicura > Risorse non accessibili al pubblico
**Gravità:** alta
**Tipo di risorsa:** `AWS::RedshiftServerless::Workgroup`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-no-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-no-public-access.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se l'accesso pubblico è disabilitato per un gruppo di lavoro Serverless Amazon Redshift. Valuta la `publiclyAccessible` proprietà di un gruppo di lavoro Redshift Serverless. Il controllo fallisce se l'accesso pubblico è abilitato (`true`) per il gruppo di lavoro.
L'impostazione public access (`publiclyAccessible`) per un gruppo di lavoro Amazon Redshift Serverless specifica se è possibile accedere al gruppo di lavoro da una rete pubblica. Se l'accesso pubblico è abilitato (`true`) per un gruppo di lavoro, Amazon Redshift crea un indirizzo IP elastico che rende il gruppo di lavoro accessibile pubblicamente dall'esterno del VPC. Se non vuoi che un gruppo di lavoro sia accessibile al pubblico, disabilita l'accesso pubblico per esso.
### Correzione
*Per informazioni sulla modifica dell'impostazione di accesso pubblico per un gruppo di lavoro Serverless Amazon Redshift, consulta [Visualizzazione delle proprietà di un gruppo di lavoro nella](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-console-workgroups.html) Amazon Redshift Management Guide.*
## [RedshiftServerless.4] I namespace Serverless di Redshift devono essere crittografati con la soluzione gestita dal cliente AWS KMS keys
**Requisiti correlati:** NIST.800-53.r5 AU-9, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-7 (10), 2 ( NIST.800-53.r5 SC-12), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-2 NIST.800-53.r5 SI-7 (6)
**Categoria: Protezione > Protezione** dei dati > Crittografia di data-at-rest
**Gravità:** media
**Tipo di risorsa:** `AWS::RedshiftServerless::Namespace`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-namespace-cmk-encryption.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-namespace-cmk-encryption.html)
**Tipo di pianificazione:** periodica
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| `kmsKeyArns` | Un elenco di Amazon Resource Names (ARNs) AWS KMS keys da includere nella valutazione. Il controllo genera un `FAILED` risultato se uno spazio dei nomi Redshift Serverless non è crittografato con una chiave KMS nell'elenco. | StringList (massimo 3 articoli) | 1-3 ARNs delle chiavi KMS esistenti. Ad esempio: `arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab`. | Nessun valore predefinito |
Questo controllo verifica se uno spazio dei nomi Amazon Redshift Serverless è crittografato quando è inattivo e gestito dal cliente. AWS KMS key Il controllo fallisce se lo spazio dei nomi Redshift Serverless non è crittografato con una chiave KMS gestita dal cliente. Facoltativamente, puoi specificare un elenco di chiavi KMS per il controllo da includere nella valutazione.
In Amazon Redshift Serverless, uno spazio dei nomi definisce un container logico per gli oggetti del database. Questo controllo verifica periodicamente se le impostazioni di crittografia per un namespace specificano una chiave KMS gestita dal cliente AWS KMS key, anziché una chiave KMS AWS gestita, per la crittografia dei dati nello spazio dei nomi. Con una chiave KMS gestita dal cliente, hai il pieno controllo della chiave. Ciò include la definizione e il mantenimento della politica chiave, la gestione delle sovvenzioni, la rotazione del materiale crittografico, l'assegnazione di tag, la creazione di alias e l'attivazione e la disabilitazione della chiave.
### Correzione
*Per informazioni sull'aggiornamento delle impostazioni di crittografia per uno spazio dei nomi Amazon Redshift Serverless e sulla specificazione di un namespace gestito dal cliente AWS KMS key, consulta [Changing the AWS KMS key for a namespace nella](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-workgroups-and-namespaces-rotate-kms-key.html) Amazon Redshift Management Guide.*
## [RedshiftServerless.5] Gli spazi dei nomi Redshift Serverless non devono utilizzare il nome utente amministratore predefinito
**Categoria: Identificazione > Configurazione delle risorse**
**Gravità:** media
**Tipo di risorsa:** `AWS::RedshiftServerless::Namespace`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-default-admin-check.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-default-admin-check.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se il nome utente di amministratore per uno spazio dei nomi Amazon Redshift Serverless è il nome utente amministratore predefinito,. `admin` Il controllo fallisce se il nome utente di amministratore per lo spazio dei nomi Redshift Serverless è. `admin`
Quando crei uno spazio dei nomi Amazon Redshift Serverless, devi specificare un nome utente amministratore personalizzato per lo spazio dei nomi. Il nome utente amministratore predefinito è di dominio pubblico. Specificando un nome utente di amministratore personalizzato, puoi, ad esempio, contribuire a mitigare il rischio o l'efficacia degli attacchi di forza bruta contro il namespace.
### Correzione
Puoi modificare il nome utente di amministratore per uno spazio dei nomi Amazon Redshift Serverless utilizzando la console o l'API Amazon Redshift Serverless. ****Per modificarlo utilizzando la console, scegli la configurazione dello spazio dei nomi, quindi scegli Modifica credenziali di amministratore nel menu Azioni.**** [Per modificarla a livello di codice, usa l'[UpdateNamespace](https://docs.aws.amazon.com/redshift-serverless/latest/APIReference/API_UpdateNamespace.html)operazione o, se usi il, esegui il AWS CLI comando update-namespace.](https://docs.aws.amazon.com/cli/latest/reference/redshift-serverless/update-namespace.html) Se modifichi il nome utente dell'amministratore, devi modificare contemporaneamente anche la password dell'amministratore.
## [RedshiftServerless.6] I namespace Redshift Serverless dovrebbero esportare i log in Logs CloudWatch
**Categoria:** Identificazione > Registrazione
**Gravità:** media
**Tipo di risorsa:** `AWS::RedshiftServerless::Namespace`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-publish-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-publish-logs-to-cloudwatch.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se uno spazio dei nomi Amazon Redshift Serverless è configurato per esportare i log di connessione e utente in Amazon Logs. CloudWatch Il controllo fallisce se lo spazio dei nomi Redshift Serverless non è configurato per esportare i log in Logs. CloudWatch
Se configuri Amazon Redshift Serverless per esportare i dati di log di connessione (`connectionlog`) e log utente (`userlog`) in un gruppo di log in Amazon CloudWatch Logs, puoi raccogliere e archiviare i tuoi record di log in uno storage durevole, che può supportare revisioni e verifiche di sicurezza, accesso e disponibilità. Con CloudWatch Logs, puoi anche eseguire analisi in tempo reale dei dati di log e utilizzarli CloudWatch per creare allarmi e rivedere i parametri.
### Correzione
Per esportare i dati di log per uno spazio dei nomi Amazon Redshift Serverless in CloudWatch Amazon Logs, è necessario selezionare i rispettivi log per l'esportazione nelle impostazioni di configurazione di audit logging per lo spazio dei nomi. Per informazioni sull'aggiornamento di queste impostazioni, consulta [Modifica della sicurezza e della crittografia](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-console-configuration-edit-network-settings.html) nella *Amazon Redshift Management* Guide.
# Controlli CSPM del Security Hub per Route 53
Questi AWS Security Hub CSPM controlli valutano il servizio e le risorse di Amazon Route 53.
Questi controlli potrebbero non essere disponibili tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [Route53.1] I controlli sanitari della Route 53 devono essere etichettati
**Categoria: Identificazione > Inventario** > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::Route53::HealthCheck`
**AWS Config regola:** `tagged-route53-healthcheck` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un controllo dello stato di Amazon Route 53 contiene tag con le chiavi specifiche definite nel parametro`requiredTagKeys`. Il controllo fallisce se il controllo dello stato non contiene alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il controllo di integrità non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice sull'etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
Per aggiungere tag a un controllo di integrità della Route 53, consulta i [controlli di integrità di denominazione e etichettatura](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-tagging.html) nella *Amazon Route 53 Developer Guide*.
## [Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS
**Requisiti correlati:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.4.2
**Categoria:** Identificazione > Registrazione
**Gravità:** media
**Tipo di risorsa:** `AWS::Route53::HostedZone`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/route53-query-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/route53-query-logging-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se la registrazione delle query DNS è abilitata per una zona ospitata pubblica di Amazon Route 53. Il controllo fallisce se la registrazione delle query DNS non è abilitata per una zona ospitata pubblicamente su Route 53.
La registrazione delle query DNS per una zona ospitata su Route 53 soddisfa i requisiti di sicurezza e conformità DNS e garantisce la visibilità. I log includono informazioni quali il dominio o il sottodominio su cui è stata eseguita la query, la data e l'ora della query, il tipo di record DNS (ad esempio, A o AAAA) e il codice di risposta DNS (ad esempio o). `NoError` `ServFail` Quando la registrazione delle query DNS è abilitata, Route 53 pubblica i file di registro su Amazon Logs. CloudWatch
### Correzione
*Per registrare le query DNS per le zone ospitate pubbliche di Route 53, consulta [Configurazione della registrazione per le query DNS nella](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/query-logs.html#query-logs-configuring) Amazon Route 53 Developer Guide.*
# Controlli CSPM del Security Hub per Amazon S3
Questi AWS Security Hub CSPM controlli valutano il servizio e le risorse Amazon Simple Storage Service (Amazon S3). I controlli potrebbero non essere disponibili tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [S3.1] I bucket generici S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate
**Requisiti correlati:** benchmark CIS AWS Foundations versione 5.0.0/2.1.4, benchmark CIS AWS Foundations versione 3.0.0/2.1.4, benchmark CIS AWS Foundations versione 1.4.0/2.1.5, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7), (21),, (11), (16) NIST.800-53.r5 AC-3, (20), (21) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (3), (4) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS versione 3.2.1/1.2.1, NIST.800-53.r5 SC-7 PCI DSS versione 3.2.1/1.3.1, NIST.800-53.r5 SC-7 PCI DSS versione 3.2.1/1.3.2, PCI DSS versione 3.2.1/1.3.4, PCI DSS versione 3.2.1/1.3.6, PCI DSS versione 4.0.1/1.4.4 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
**Categoria:** Protezione > Configurazione di rete protetta
**Gravità:** media
**Tipo di risorsa:** `AWS::::Account`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-account-level-public-access-blocks-periodic.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-account-level-public-access-blocks-periodic.html)
**Tipo di pianificazione:** periodica
**Parametri:**
+ `ignorePublicAcls`: `true` (non personalizzabile)
+ `blockPublicPolicy`: `true` (non personalizzabile)
+ `blockPublicAcls`: `true` (non personalizzabile)
+ `restrictPublicBuckets`: `true` (non personalizzabile)
Questo controllo verifica se le precedenti impostazioni di accesso pubblico a blocchi di Amazon S3 sono configurate a livello di account per un bucket S3 generico. Il controllo fallisce se una o più impostazioni di accesso pubblico a blocchi sono impostate su. `false`
Il controllo ha esito negativo se una delle impostazioni è impostata su o se una delle impostazioni non è configurata. `false`
Il blocco di accesso pubblico di Amazon S3 è progettato per fornire controlli su un intero bucket S3 Account AWS o a livello di singolo bucket S3 per garantire che gli oggetti non abbiano mai accesso pubblico. L'accesso pubblico a bucket e oggetti viene concesso tramite liste di controllo degli accessi (ACLs), policy relative ai bucket o entrambe.
A meno che tu non intenda rendere i tuoi bucket S3 accessibili al pubblico, devi configurare la funzionalità Amazon S3 Block Public Access a livello di account.
Per ulteriori informazioni, consulta [Using Amazon S3 Block Public Access](https://docs.aws.amazon.com/AmazonS3/latest/dev/access-control-block-public-access.html) nella Guida per l'*utente di Amazon Simple Storage Service*.
### Correzione
Per abilitare Amazon S3 Block Public Access per il tuo account Account AWS, consulta [Configurazione delle impostazioni di accesso pubblico a blocchi per il tuo account nella Guida per l'utente](https://docs.aws.amazon.com/AmazonS3/latest/userguide/configuring-block-public-access-account.html) di *Amazon Simple Storage Service*.
## [S3.2] I bucket S3 per uso generico dovrebbero bloccare l'accesso pubblico in lettura
**Requisiti correlati:** PCI DSS versione 3.2.1/1.2.1, PCI DSS versione 3.2.1/1.3.1, PCI DSS versione 3.2.1/1.3.2, PCI DSS versione 3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7),, (21),, (11), (16) NIST.800-53.r5 AC-3, (20), NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4, (3) NIST.800-53.r5 AC-6, (4)) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
**Categoria:** Protezione > Configurazione di rete protetta
**Severità:** critica
**Tipo di risorsa:** `AWS::S3::Bucket`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-read-prohibited](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-read-prohibited)
**Tipo di pianificazione:** periodica e con attivazione di modifiche
**Parametri:** nessuno
Questo controllo verifica se un bucket Amazon S3 per uso generico consente l'accesso pubblico in lettura. Esamina le impostazioni di blocco dell'accesso pubblico, la policy del bucket e la lista di controllo accessi (ACL) del bucket. Il controllo fallisce se il bucket consente l'accesso pubblico in lettura.
**Nota**
Se un bucket S3 ha una policy bucket, questo controllo non valuta le condizioni delle policy che utilizzano caratteri jolly o variabili. Per produrre un `PASSED` risultato, le condizioni della bucket policy devono utilizzare solo valori fissi, ossia valori che non contengono caratteri jolly o variabili di policy. Per informazioni sulle variabili di policy, consulta [Variabili e tag nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) per l'*AWS Identity and Access Management utente*.
Alcuni casi d'uso potrebbero richiedere che tutti gli utenti di Internet siano in grado di leggere dal tuo bucket S3. Tuttavia, queste situazioni sono rare. Per garantire l'integrità e la sicurezza dei dati, il bucket S3 non deve essere leggibile pubblicamente.
### Correzione
Per bloccare l'accesso pubblico in lettura sui tuoi bucket Amazon S3, consulta [Configurazione delle impostazioni di accesso pubblico a blocchi per i tuoi bucket S3 nella Guida per l'utente di *Amazon* Simple](https://docs.aws.amazon.com/AmazonS3/latest/userguide/configuring-block-public-access-bucket.html) Storage Service.
## [S3.3] I bucket generici S3 dovrebbero bloccare l'accesso pubblico in scrittura
**Requisiti correlati:** PCI DSS versione 3.2.1/1.2.1, PCI DSS versione 3.2.1/1.3.1, PCI DSS versione 3.2.1/1.3.2, PCI DSS versione 3.2.1/1.3.4, PCI DSS versione 3.2.1/1.3.6, PCI DSS versione 3.2.1/7.2.1, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7), (21),, (11), (16), (20), (21) NIST.800-53.r5 AC-3, (3), (4) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (9) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
**Categoria:** Protezione > Configurazione di rete protetta
**Severità:** critica
**Tipo di risorsa:** `AWS::S3::Bucket`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-write-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-write-prohibited.html)
**Tipo di pianificazione:** periodica e con attivazione di modifiche
**Parametri:** nessuno
Questo controllo verifica se un bucket Amazon S3 per uso generico consente l'accesso pubblico in scrittura. Esamina le impostazioni di blocco dell'accesso pubblico, la policy del bucket e la lista di controllo accessi (ACL) del bucket. Il controllo fallisce se il bucket consente l'accesso pubblico in scrittura.
**Nota**
Se un bucket S3 ha una policy bucket, questo controllo non valuta le condizioni delle policy che utilizzano caratteri jolly o variabili. Per produrre un `PASSED` risultato, le condizioni della bucket policy devono utilizzare solo valori fissi, ossia valori che non contengono caratteri jolly o variabili di policy. Per informazioni sulle variabili di policy, consulta [Variabili e tag nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) per l'*AWS Identity and Access Management utente*.
Alcuni casi d'uso prevedono che chiunque su Internet sia in grado di scrivere nel bucket S3. Tuttavia, queste situazioni sono rare. Per garantire l'integrità e la sicurezza dei dati, il bucket S3 non deve essere scrivibile pubblicamente.
### Correzione
Per bloccare l'accesso pubblico in scrittura sui tuoi bucket Amazon S3, consulta [Configurazione delle impostazioni di accesso pubblico a blocchi per i tuoi bucket S3 nella Guida per l'utente di *Amazon* Simple](https://docs.aws.amazon.com/AmazonS3/latest/userguide/configuring-block-public-access-bucket.html) Storage Service.
## [S3.5] I bucket S3 per uso generico devono richiedere l'utilizzo di SSL
**Requisiti correlati:** CIS AWS Foundations Benchmark v5.0.0/2.1.1, CIS AWS Foundations Benchmark v3.0.0/2.1.1, CIS Foundations Benchmark v1.4.0/2.1.2, NIST.800-53.r5 AC-1 7 (2), (1), 2 (3), 3, 3 (3), (4), (1), NIST.800-53.r5 IA-5 (2) NIST.800-53.r5 AC-4, NIST.800-53.R5 SI-7 (6), NIST.800-53.r5 SC-1 NIST.800-53.R5 SI-7 (6), NIST.800-53.r5 SC-7 NIST.800-53.R5 -171.r2 3.13.8 NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-171.r2 3.13.15, PCI DSS versione 3.2.1/4.1, PCI DSS versione 4.0.1/4.2.1 AWS NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-8
**Categoria:** Protezione > Gestione degli accessi sicuri
**Gravità:** media
**Tipo di risorsa:** `AWS::S3::Bucket`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-ssl-requests-only.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-ssl-requests-only.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un bucket Amazon S3 per uso generico ha una politica che richiede richieste di utilizzo di SSL. Il controllo fallisce se la policy del bucket non richiede richieste di utilizzo di SSL.
I bucket S3 devono avere politiche che richiedono che tutte le richieste (`Action: S3:*`) accettino solo la trasmissione di dati tramite HTTPS nella politica delle risorse S3, indicata dalla chiave di condizione. `aws:SecureTransport`
### Correzione
*Per aggiornare una policy sui bucket di Amazon S3 per impedire il trasporto non sicuro, consulta [Aggiungere una policy sui bucket utilizzando la console Amazon S3 nella Guida per l'utente di Amazon Simple](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html) Storage Service.*
Aggiungi una dichiarazione di policy simile a quella riportata nella seguente policy. Sostituiscilo `amzn-s3-demo-bucket` con il nome del bucket che stai modificando.
------
#### [ JSON ]
****
```
{
"Id": "ExamplePolicy",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSSLRequestsOnly",
"Action": "s3:*",
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
},
"Principal": "*"
}
]
}
```
------
Per ulteriori informazioni, consulta [Quale policy sui bucket S3 devo usare per rispettare la AWS Config](https://aws.amazon.com/premiumsupport/knowledge-center/s3-bucket-policy-for-config-rule/) regola s3-? bucket-ssl-requests-only nel Knowledge Center *AWS ufficiale*.
## [S3.6] Le policy generiche relative ai bucket di S3 dovrebbero limitare l'accesso ad altri Account AWS
**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-171.r2 3.13.4
**Categoria**: Protezione > Gestione sicura degli accessi > Azioni operative API sensibili limitate
**Gravità:** alta
**Tipo di risorsa:** `AWS::S3::Bucket`
**Regola AWS Config**: [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-blacklisted-actions-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-blacklisted-actions-prohibited.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
+ `blacklistedactionpatterns`: `s3:DeleteBucketPolicy, s3:PutBucketAcl, s3:PutBucketPolicy, s3:PutEncryptionConfiguration, s3:PutObjectAcl` (non personalizzabile)
Questo controllo verifica se una policy sui bucket generici di Amazon S3 impedisce ai principali di eseguire azioni negate sulle risorse nel bucket S3. Account AWS Il controllo fallisce se la bucket policy consente una o più delle azioni precedenti per un principale in un altro. Account AWS
L'implementazione dell'accesso con privilegi minimi è fondamentale per ridurre i rischi per la sicurezza e l'impatto di errori o intenzioni malevole. Se una policy S3 bucket consente l'accesso da account esterni, potrebbe causare l'esfiltrazione dei dati da parte di una minaccia interna o di un aggressore.
Il `blacklistedactionpatterns` parametro consente una valutazione corretta della regola per i bucket S3. Il parametro consente l'accesso agli account esterni per i modelli di azione che non sono inclusi nell'elenco. `blacklistedactionpatterns`
### Correzione
Per aggiornare una policy sui bucket di Amazon S3 per rimuovere le autorizzazioni, consulta. [Aggiungere una policy bucket utilizzando la console Amazon S3 nella](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html) Guida per l'utente di *Amazon Simple Storage Service*.
Nella pagina **Modifica policy bucket**, nella casella di testo per la modifica della policy, esegui una delle seguenti azioni:
+ Rimuovi le dichiarazioni che concedono ad altri Account AWS l'accesso alle azioni negate.
+ Rimuovi le azioni negate consentite dalle dichiarazioni.
## [S3.7] I bucket S3 per uso generico devono utilizzare la replica tra regioni
**Requisiti correlati:** PCI DSS v3.2.1/2.2, NIST.800-53.r5 AU-9(2), NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-3 6 (2), (2), NIST.800-53.r5 SI-13 (5) NIST.800-53.r5 SC-5
**Categoria:** Protezione > Gestione degli accessi sicuri
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::S3::Bucket`
**AWS Config regola: [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-cross-region-replication-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-cross-region-replication-enabled.html)**
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se in un bucket Amazon S3 per uso generico è abilitata la replica tra regioni. Il controllo fallisce se nel bucket non è abilitata la replica tra regioni.
La replica è la copia automatica e asincrona di oggetti tra bucket uguali o diversi. Regioni AWS La replica copia gli oggetti appena creati e gli aggiornamenti degli oggetti da un bucket di origine a uno o più bucket di destinazione. AWS le migliori pratiche consigliano la replica per i bucket di origine e di destinazione di proprietà degli stessi. Account AWS Oltre alla disponibilità, è necessario prendere in considerazione altre impostazioni di protezione dei sistemi.
Questo controllo produce una `FAILED` ricerca per un bucket di destinazione di replica se non ha la replica tra regioni abilitata. Se esiste un motivo legittimo per cui il bucket di destinazione non necessita della replica tra regioni per essere abilitato, puoi sopprimere i risultati per questo bucket.
### Correzione
*Per abilitare la replica tra regioni su un bucket S3, consulta [Configurazione della replica per i bucket di origine e destinazione di proprietà dello stesso account nella Guida per l'utente di Amazon Simple Storage](https://docs.aws.amazon.com/AmazonS3/latest/userguide/replication-walkthrough1.html) Service.* **Per **Source bucket, scegli Applica a tutti gli oggetti nel bucket**.**
## [S3.8] I bucket generici S3 dovrebbero bloccare l'accesso pubblico
**Requisiti correlati:** CIS AWS Foundations Benchmark v5.0.0/2.1.4, CIS AWS Foundations Benchmark v3.0.02.1.4, CIS AWS Foundations Benchmark v1.4.0/2.1.5, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (11), (16) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v4.0.1/1.4.4 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
**Categoria:** Protezione > Gestione sicura degli accessi > Controllo degli accessi
**Gravità:** alta
**Tipo di risorsa:** `AWS::S3::Bucket`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-level-public-access-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-level-public-access-prohibited.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
+ `excludedPublicBuckets`(non personalizzabile): un elenco separato da virgole di nomi di bucket S3 pubblici e noti e consentiti
Questo controllo verifica se un bucket generico Amazon S3 blocca l'accesso pubblico a livello di bucket. Il controllo fallisce se una delle seguenti impostazioni è impostata su: `false`
+ `ignorePublicAcls`
+ `blockPublicPolicy`
+ `blockPublicAcls`
+ `restrictPublicBuckets`
Block Public Access a livello di bucket S3 fornisce controlli per garantire che gli oggetti non abbiano mai accesso pubblico. L'accesso pubblico è concesso a bucket e oggetti tramite liste di controllo degli accessi (ACLs), policy relative ai bucket o entrambe.
A meno che tu non intenda rendere i tuoi bucket S3 accessibili al pubblico, devi configurare la funzionalità Amazon S3 Block Public Access a livello di bucket.
### Correzione
Per informazioni su come rimuovere l'accesso pubblico a livello di bucket, consulta [Bloccare l'accesso pubblico allo storage Amazon S3 nella Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/access-control-block-public-access.html) *User Guide*.
## [S3.9] I bucket generici S3 devono avere la registrazione degli accessi al server abilitata
**Requisiti correlati:** NIST.800-53.r5 AC-2 (4), NIST.800-53.r5 AC-4 (26), (9), NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8), NIST.800-171.r2 3.3.8, PCI DSS v4.0.1/10.2.1
**Categoria:** Identificazione > Registrazione
**Gravità:** media
**Tipo di risorsa:** `AWS::S3::Bucket`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-logging-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se la registrazione degli accessi al server è abilitata per un bucket Amazon S3 per uso generico. Il controllo fallisce se la registrazione degli accessi al server non è abilitata. Quando la registrazione è abilitata, Amazon S3 fornisce i log di accesso per un bucket di origine a un bucket di destinazione scelto. Il bucket di destinazione deve trovarsi nello stesso Regione AWS del bucket di origine e non deve avere un periodo di conservazione predefinito configurato. Non è necessario che nel bucket di registrazione di destinazione sia abilitata la registrazione degli accessi al server ed è necessario eliminare i risultati relativi a questo bucket.
La registrazione degli accessi al server fornisce registrazioni dettagliate delle richieste effettuate a un bucket. I log di accesso al server possono aiutare nei controlli di sicurezza e di accesso. Per ulteriori informazioni, consulta [Best practice di sicurezza per Amazon S3: abilitare la registrazione degli accessi ai server Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/security-best-practices.html).
### Correzione
*Per abilitare la registrazione degli accessi ai server Amazon S3, consulta Enabling Amazon [S3 server access logging nella Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html) User Guide.*
## [S3.10] I bucket generici S3 con il controllo delle versioni abilitato devono avere configurazioni del ciclo di vita
**Requisiti correlati: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13** (5)
**Categoria:** Identificazione > Registrazione
**Gravità:** media
**Tipo di risorsa:** `AWS::S3::Bucket`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-version-lifecycle-policy-check.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-version-lifecycle-policy-check.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un bucket con versione generica di Amazon S3 ha una configurazione del ciclo di vita. Il controllo fallisce se il bucket non ha una configurazione del ciclo di vita.
Ti consigliamo di creare una configurazione del ciclo di vita per il tuo bucket S3 per aiutarti a definire le azioni che desideri che Amazon S3 intraprenda durante la vita di un oggetto.
### Correzione
[Per ulteriori informazioni sulla configurazione del ciclo di vita su un bucket Amazon S3, consulta [Impostazione della configurazione del ciclo di vita su un bucket e Gestione del ciclo](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-to-set-lifecycle-configuration-intro.html) di vita dello storage.](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html)
## [S3.11] I bucket generici S3 devono avere le notifiche degli eventi abilitate
**Requisiti correlati:** NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-3 (8), NIST.800-53.r5 SI-4, NIST.800-53.r5 SI-4 (4), NIST.800-171.r2 3.3.8
**Categoria:** Identificazione > Registrazione
**Gravità:** media
**Tipo di risorsa:** `AWS::S3::Bucket`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-event-notifications-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-event-notifications-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| `eventTypes` | Elenco dei tipi di eventi S3 preferiti | EnumList (massimo 28 articoli) | `s3:IntelligentTiering, s3:LifecycleExpiration:*, s3:LifecycleExpiration:Delete, s3:LifecycleExpiration:DeleteMarkerCreated, s3:LifecycleTransition, s3:ObjectAcl:Put, s3:ObjectCreated:*, s3:ObjectCreated:CompleteMultipartUpload, s3:ObjectCreated:Copy, s3:ObjectCreated:Post, s3:ObjectCreated:Put, s3:ObjectRemoved:*, s3:ObjectRemoved:Delete, s3:ObjectRemoved:DeleteMarkerCreated, s3:ObjectRestore:*, s3:ObjectRestore:Completed, s3:ObjectRestore:Delete, s3:ObjectRestore:Post, s3:ObjectTagging:*, s3:ObjectTagging:Delete, s3:ObjectTagging:Put, s3:ReducedRedundancyLostObject, s3:Replication:*, s3:Replication:OperationFailedReplication, s3:Replication:OperationMissedThreshold, s3:Replication:OperationNotTracked, s3:Replication:OperationReplicatedAfterThreshold, s3:TestEvent` | Nessun valore predefinito |
Questo controllo verifica se le notifiche degli eventi S3 sono abilitate su un bucket Amazon S3 per uso generico. Il controllo fallisce se le notifiche degli eventi S3 non sono abilitate nel bucket. Se fornisci valori personalizzati per il `eventTypes` parametro, il controllo passa solo se le notifiche degli eventi sono abilitate per i tipi di eventi specificati.
Quando abiliti le notifiche di eventi S3, ricevi avvisi quando si verificano eventi specifici che influiscono sui bucket S3. Ad esempio, puoi ricevere notifiche sulla creazione, la rimozione e il ripristino degli oggetti. Queste notifiche possono avvisare i team competenti in caso di modifiche accidentali o intenzionali che possono portare all'accesso non autorizzato ai dati.
### Correzione
*Per informazioni sul rilevamento delle modifiche ai bucket e agli oggetti S3, consulta Amazon S3 [Event Notifications nella Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/NotificationHowTo.html) User Guide.*
## [S3.12] non ACLs deve essere usato per gestire l'accesso degli utenti ai bucket generici S3
**Requisiti correlati:** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15) NIST.800-53.r5 AC-3, (7), NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6
**Categoria:** Protezione > Gestione sicura degli accessi > Controllo degli accessi
**Gravità:** media
**Tipo di risorsa:** `AWS::S3::Bucket`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-acl-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-acl-prohibited.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un bucket Amazon S3 per uso generico fornisce autorizzazioni utente con una lista di controllo degli accessi (ACL). Il controllo fallisce se un ACL è configurato per la gestione dell'accesso degli utenti al bucket.
ACLs sono meccanismi di controllo degli accessi legacy precedenti a IAM. Ti consigliamo invece di ACLs utilizzare le policy dei bucket S3 o le policy AWS Identity and Access Management (IAM) per gestire l'accesso ai bucket S3.
### Correzione
Per passare questo controllo, devi disabilitarlo ACLs per i tuoi bucket S3. Per istruzioni, consulta la sezione [Controllo della proprietà degli oggetti e disattivazione del bucket nella Guida ACLs per](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html) l'*utente di Amazon Simple Storage Service*.
Per creare una policy per i bucket S3, consulta [Aggiungere una policy per i bucket utilizzando la console Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html). Per creare una policy utente IAM su un bucket S3, consulta [Controllare l'accesso a](https://docs.aws.amazon.com/AmazonS3/latest/userguide/walkthrough1.html#walkthrough-grant-user1-permissions) un bucket con le policy utente.
## [S3.13] I bucket generici S3 devono avere configurazioni del ciclo di vita
**Requisiti correlati:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
**Categoria**: Proteggi > Protezione dei dati
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::S3::Bucket`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-lifecycle-policy-check.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-lifecycle-policy-check.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| `targetTransitionDays` | Numero di giorni dopo la creazione dell'oggetto, quando gli oggetti vengono trasferiti a una classe di archiviazione specificata | Numero intero | `1` Da a `36500` | Nessun valore predefinito |
| `targetExpirationDays` | Numero di giorni dopo la creazione dell'oggetto in cui gli oggetti vengono eliminati | Numero intero | `1` Da a `36500` | Nessun valore predefinito |
| `targetTransitionStorageClass` | Tipo di classe di archiviazione S3 di destinazione | Enum | `STANDARD_IA, INTELLIGENT_TIERING, ONEZONE_IA, GLACIER, GLACIER_IR, DEEP_ARCHIVE` | Nessun valore predefinito |
Questo controllo verifica se un bucket Amazon S3 per uso generico ha una configurazione del ciclo di vita. Il controllo fallisce se il bucket non ha una configurazione del ciclo di vita. Se fornisci valori personalizzati per uno o più dei parametri precedenti, il controllo passa solo se la policy include la classe di archiviazione, il tempo di eliminazione o il tempo di transizione specificati.
La creazione di una configurazione del ciclo di vita per il tuo bucket S3 definisce le azioni che vuoi che Amazon S3 intraprenda durante la vita di un oggetto. Ad esempio, puoi trasferire oggetti in un'altra classe di storage, archiviarli o eliminarli dopo un periodo di tempo specificato.
### Correzione
*Per informazioni sulla configurazione delle politiche del ciclo di vita su un bucket Amazon S3, consulta [Setting lifecycle configuration on a bucket e Managing your [storage lifecycle](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-to-set-lifecycle-configuration-intro.html) nella Amazon S3 User Guide.*
## [S3.14] I bucket generici S3 devono avere il controllo delle versioni abilitato
**Categoria:** Protezione > Protezione dei dati > Protezione dalla cancellazione dei dati
**Requisiti correlati:** NIST.800-53.r5 AU-9(2), NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-12, NIST.800-53.r5 SI-13 (5), NIST.800-171.r2 3.3.8
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::S3::Bucket`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-versioning-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-versioning-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un bucket Amazon S3 per uso generico ha il controllo delle versioni abilitato. Il controllo fallisce se il controllo delle versioni è sospeso per il bucket.
Il controllo delle versioni mantiene più varianti di un oggetto nello stesso bucket S3. Puoi utilizzare il controllo delle versioni per conservare, recuperare e ripristinare versioni precedenti di un oggetto archiviato nel tuo bucket S3. Il controllo delle versioni ti aiuta a recuperare sia da azioni involontarie dell'utente che da errori delle applicazioni.
**Suggerimento**
Man mano che il numero di oggetti in un bucket aumenta a causa del controllo delle versioni, è possibile impostare una configurazione del ciclo di vita per archiviare o eliminare automaticamente gli oggetti con versioni in base a regole. Per ulteriori informazioni, consulta [Amazon S3 Lifecycle Management](https://aws.amazon.com/blogs/aws/amazon-s3-lifecycle-management-update/) for Versioned Objects.
### Correzione
*Per utilizzare il controllo delle versioni su un bucket S3, consulta [Enabling versioning on bucket nella Amazon S3 User](https://docs.aws.amazon.com/AmazonS3/latest/userguide/manage-versioning-examples.html) Guide.*
## [S3.15] I bucket generici S3 devono avere Object Lock abilitato
**Categoria:** Proteggi > Protezione dei dati > Protezione dalla cancellazione dei dati
**Requisiti correlati:** NIST.800-53.r5 CP-6 (2), PCI DSS v4.0.1/10.5.1
**Gravità:** media
**Tipo di risorsa:** `AWS::S3::Bucket`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-default-lock-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-default-lock-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| `mode` | Modalità di conservazione di S3 Object Lock | Enum | `GOVERNANCE`, `COMPLIANCE` | Nessun valore predefinito |
Questo controllo verifica se un bucket Amazon S3 per uso generico ha Object Lock abilitato. Il controllo fallisce se Object Lock non è abilitato per il bucket. Se fornite un valore personalizzato per il `mode` parametro, il controllo passa solo se S3 Object Lock utilizza la modalità di conservazione specificata.
È possibile utilizzare S3 Object Lock per memorizzare oggetti utilizzando un modello write-once-read-many (WORM). Object Lock può aiutare a impedire che gli oggetti nei bucket S3 vengano eliminati o sovrascritti per un periodo di tempo fisso o indefinitamente. Puoi utilizzare il blocco oggetti S3 per soddisfare i requisiti normativi che richiedono uno storage WORM o aggiungere un ulteriore livello di protezione contro le modifiche e l'eliminazione degli oggetti.
### Correzione
*Per configurare Object Lock per bucket S3 nuovi ed esistenti, consulta [Configuring S3 Object Lock nella Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock-configure.html) User Guide.*
## [S3.17] I bucket generici S3 devono essere crittografati quando sono inattivi con AWS KMS keys
**Categoria:** Protezione > Protezione dei dati > Crittografia di data-at-rest
**Requisiti correlati:** NIST.800-53.r5 SC-1 2 (2), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 NIST.800-53.r5 SI-7 NIST.800-53.r5 CA-9 (6), NIST.800-53.r5 AU-9, NIST.800-171.r2 3.8.9, NIST.800-171.r2 3.13.11, NIST.800-171.r2 3.13.16, PCI DSS v4.0.3.11 5.1
**Gravità:** media
**Tipo di risorsa:** `AWS::S3::Bucket`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un bucket Amazon S3 per uso generico è crittografato con un AWS KMS key (SSE-KMS o DSSE-KMS). Il controllo fallisce se il bucket è crittografato con crittografia predefinita (SSE-S3).
La crittografia lato server (SSE) è la crittografia dei dati a destinazione da parte dell'applicazione o del servizio che li riceve. Se non diversamente specificato, i bucket S3 utilizzano le chiavi gestite di Amazon S3 (SSE-S3) per impostazione predefinita per la crittografia lato server. Tuttavia, per un maggiore controllo, puoi scegliere di configurare i bucket per utilizzare invece la crittografia lato server (SSE-KMS o DSSE-KMS). AWS KMS keys Amazon S3 crittografa i dati a livello di oggetto mentre li scrive su dischi nei data AWS center e li decrittografa per te quando vi accedi.
### Correzione
*Per crittografare un bucket S3 utilizzando SSE-KMS, consulta [Specificare la crittografia lato server con (SSE-KMS) nella Amazon AWS KMS S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/specifying-kms-encryption.html) User Guide.* *Per crittografare un bucket S3 utilizzando DSSE-KMS, consulta [Specificare la crittografia lato server a doppio livello con ( AWS KMS keys DSSE-KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/specifying-dsse-encryption.html)) nella Guida per l'utente di Amazon S3.*
## [S3.19] I punti di accesso S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate
**Requisiti correlati:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4,, (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v4.0.1/1.4.4
**Categoria: Protezione > Gestione sicura degli accessi** > Risorsa non accessibile al pubblico
**Severità:** critica
**Tipo di risorsa:** `AWS::S3::AccessPoint`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-access-point-public-access-blocks.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-access-point-public-access-blocks.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un punto di accesso Amazon S3 ha abilitato le impostazioni di blocco dell'accesso pubblico. Il controllo fallisce se le impostazioni di blocco dell'accesso pubblico non sono abilitate per il punto di accesso.
La funzionalità Amazon S3 Block Public Access ti aiuta a gestire l'accesso alle tue risorse S3 a tre livelli: account, bucket e access point. Le impostazioni a ciascun livello possono essere configurate in modo indipendente, consentendoti di avere diversi livelli di restrizioni di accesso pubblico ai tuoi dati. Le impostazioni del punto di accesso non possono sovrascrivere individualmente le impostazioni più restrittive ai livelli superiori (livello di account o bucket assegnato al punto di accesso). Al contrario, le impostazioni a livello del punto di accesso sono additive, il che significa che completano e funzionano insieme alle impostazioni degli altri livelli. A meno che tu non voglia che un punto di accesso S3 sia accessibile al pubblico, devi abilitare le impostazioni di blocco dell'accesso pubblico.
### Correzione
Amazon S3 attualmente non supporta la modifica delle impostazioni di blocco dell'accesso pubblico di un punto di accesso dopo la creazione del punto di accesso. Tutte le impostazioni di blocco dell'accesso pubblico sono abilitate per impostazione predefinita quando crei un nuovo punto di accesso. È consigliabile lasciare tutte le impostazioni abilitate, a meno che tu non debba necessariamente disabilitarne una specifica. Per ulteriori informazioni, consulta [la sezione Gestione dell'accesso pubblico agli access point](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-points-bpa-settings.html) nella *Guida per l'utente di Amazon Simple Storage Service*.
## [S3.20] I bucket S3 per uso generico devono avere l'eliminazione MFA abilitata
**Requisiti correlati:** CIS AWS Foundations Benchmark v5.0.0/2.1.2, CIS Foundations Benchmark v3.0.0/2.1.2, CIS AWS Foundations Benchmark v1.4.0/2.1.3, (1), (2) AWS NIST.800-53.r5 CA-9 NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5
**Categoria**: Protezione > Protezione dei dati > Protezione dalla cancellazione dei dati
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::S3::Bucket`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-mfa-delete-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-mfa-delete-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se l'eliminazione dell'autenticazione a più fattori (MFA) è abilitata per un bucket Amazon S3 generico. Il controllo fallisce se l'eliminazione MFA non è abilitata per il bucket. Il controllo non produce risultati per i bucket con una configurazione del ciclo di vita.
Se abiliti il controllo delle versioni per un bucket S3 generico, puoi facoltativamente aggiungere un altro livello di sicurezza configurando l'eliminazione MFA per il bucket. In tal caso, il proprietario del bucket deve includere due forme di autenticazione in ogni richiesta per eliminare una versione di un oggetto nel bucket o modificare lo stato di controllo delle versioni del bucket. L'eliminazione MFA fornisce una maggiore sicurezza se, ad esempio, le credenziali di sicurezza del proprietario del bucket sono compromesse. L'eliminazione MFA può anche aiutare a prevenire le eliminazioni accidentali dei bucket richiedendo all'utente che avvia l'azione di eliminazione di dimostrare il possesso fisico di un dispositivo MFA con un codice MFA, che aggiunge un ulteriore livello di attrito e sicurezza all'azione di eliminazione.
**Nota**
Questo controllo produce un `PASSED` risultato solo se l'eliminazione MFA è abilitata per il bucket generico S3. Per abilitare l'eliminazione MFA per un bucket, è necessario abilitare anche il controllo delle versioni per il bucket. Il controllo delle versioni del bucket è un metodo per archiviare più varianti di un oggetto S3 nello stesso bucket. Inoltre, solo il proprietario del bucket che ha effettuato l'accesso come utente root può abilitare l'eliminazione MFA ed eseguire azioni di eliminazione sul bucket. Non è possibile utilizzare MFA delete con un bucket con una configurazione del ciclo di vita.
### Correzione
*Per informazioni sull'abilitazione del controllo delle versioni e sulla configurazione dell'eliminazione MFA per un bucket S3, consulta [Configuring MFA delete](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MultiFactorAuthenticationDelete.html) nella Amazon Simple Storage Service User Guide.*
## [S3.22] I bucket S3 per uso generico devono registrare gli eventi di scrittura a livello di oggetto
**Requisiti correlati:** CIS Foundations Benchmark v5.0.0/3.8, CIS AWS Foundations Benchmark v3.0.0/3.8, PCI DSS v4.0.1/10.2.1 AWS
**Categoria:** Identificazione > Registrazione
**Gravità:** media
**Tipo di risorsa:** `AWS::::Account`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-all-write-s3-data-event-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-all-write-s3-data-event-check.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se un utente Account AWS dispone di almeno un percorso AWS CloudTrail multiregionale che registra tutti gli eventi di scrittura dei dati per i bucket Amazon S3. Il controllo fallisce se l'account non dispone di un percorso multiregionale che registra gli eventi di scrittura dei dati per i bucket S3.
Le operazioni a livello di oggetto S3, ad esempio, e, sono chiamate eventi relativi ai `GetObject` dati`DeleteObject`. `PutObject` Per impostazione predefinita, CloudTrail non registra gli eventi relativi ai dati, ma puoi configurare percorsi per registrare gli eventi relativi ai dati per i bucket S3. Quando abiliti la registrazione a livello di oggetto per gli eventi di scrittura dei dati, puoi registrare l'accesso a ogni singolo oggetto (file) all'interno di un bucket S3. L'abilitazione della registrazione a livello di oggetto può aiutarti a soddisfare i requisiti di conformità dei dati, eseguire analisi di sicurezza complete, monitorare modelli specifici di comportamento degli utenti e intervenire sull'attività delle API a livello di oggetto all'interno dei tuoi bucket S3 utilizzando Amazon Events. Account AWS CloudWatch Questo controllo produce un `PASSED` risultato se configuri un percorso multiregionale che registra eventi di sola scrittura o tutti i tipi di dati per tutti i bucket S3.
### Correzione
*Per abilitare la registrazione a livello di oggetto per i bucket S3, consulta [Enabling CloudTrail event logging for S3 bucket and objects nella Amazon Simple](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-cloudtrail-logging-for-s3.html) Storage Service User Guide.*
## [S3.23] I bucket S3 per uso generico devono registrare gli eventi di lettura a livello di oggetto
**Requisiti correlati:** CIS Foundations Benchmark v5.0.0/3.9, CIS AWS Foundations Benchmark v3.0.0/3.9, PCI DSS v4.0.1/10.2.1 AWS
**Categoria:** Identificazione > Registrazione
**Gravità:** media
**Tipo di risorsa:** `AWS::::Account`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-all-read-s3-data-event-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-all-read-s3-data-event-check.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se un utente Account AWS dispone di almeno un percorso AWS CloudTrail multiregionale che registra tutti gli eventi di lettura dei dati per i bucket Amazon S3. Il controllo fallisce se l'account non dispone di un percorso multiregionale che registra gli eventi dei dati di lettura per i bucket S3.
Le operazioni a livello di oggetto S3, ad esempio, e, sono chiamate eventi relativi ai `GetObject` dati`DeleteObject`. `PutObject` Per impostazione predefinita, CloudTrail non registra gli eventi relativi ai dati, ma puoi configurare percorsi per registrare gli eventi relativi ai dati per i bucket S3. Quando abiliti la registrazione a livello di oggetto per gli eventi di lettura dei dati, puoi registrare l'accesso a ogni singolo oggetto (file) all'interno di un bucket S3. L'abilitazione della registrazione a livello di oggetto può aiutarti a soddisfare i requisiti di conformità dei dati, eseguire analisi di sicurezza complete, monitorare modelli specifici di comportamento degli utenti e intervenire sull'attività delle API a livello di oggetto all'interno dei tuoi bucket S3 utilizzando Amazon Events. Account AWS CloudWatch Questo controllo produce `PASSED` risultati se configuri un percorso multiregionale che registra eventi di sola lettura o tutti i tipi di eventi relativi ai dati per tutti i bucket S3.
### Correzione
*Per abilitare la registrazione a livello di oggetto per i bucket S3, consulta [Enabling CloudTrail event logging for S3 bucket and objects nella Amazon Simple](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-cloudtrail-logging-for-s3.html) Storage Service User Guide.*
## [S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate
**Requisiti correlati**: PCI DSS v4.0.1/1.4.4
**Categoria:** Protezione > Configurazione sicura della rete > Risorse non accessibili al pubblico
**Gravità:** alta
**Tipo di risorsa:** `AWS::S3::MultiRegionAccessPoint`
**AWS Config regola:** `s3-mrap-public-access-blocked` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:** nessuno
Questo controllo verifica se un punto di accesso multiregionale Amazon S3 ha abilitato le impostazioni di blocco dell'accesso pubblico. Il controllo fallisce quando nel punto di accesso multiregionale non sono abilitate le impostazioni di blocco dell'accesso pubblico.
Le risorse accessibili al pubblico possono comportare accessi non autorizzati, violazioni dei dati o sfruttamento di vulnerabilità. Limitare l'accesso tramite misure di autenticazione e autorizzazione aiuta a salvaguardare le informazioni sensibili e a mantenere l'integrità delle risorse.
### Correzione
Per impostazione predefinita, tutte le impostazioni Block Public Access sono abilitate per un punto di accesso multiregionale S3. Per ulteriori informazioni, consulta [Bloccare l'accesso pubblico con punti di accesso multiregionali Amazon S3 nella Guida per l'](https://docs.aws.amazon.com/AmazonS3/latest/userguide/multi-region-access-point-block-public-access.html)utente di *Amazon Simple Storage Service*. Dopo la creazione del punto di accesso multi-regione, non puoi più modificare le relative impostazioni di blocco dell'accesso pubblico.
## [S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita
**Categoria:** Proteggi > Protezione dei dati
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::S3Express::DirectoryBucket`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/s3express-dir-bucket-lifecycle-rules-check.html](https://docs.aws.amazon.com/config/latest/developerguide/s3express-dir-bucket-lifecycle-rules-check.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| `targetExpirationDays` | Il numero di giorni, dopo la creazione dell'oggetto, in cui gli oggetti devono scadere. | Numero intero | `1` Da a `2147483647` | Nessun valore predefinito |
Questo controllo verifica se le regole del ciclo di vita sono configurate per un bucket di directory S3. Il controllo fallisce se le regole del ciclo di vita non sono configurate per il bucket di directory o se una regola del ciclo di vita per il bucket specifica impostazioni di scadenza che non corrispondono al valore del parametro specificato facoltativamente.
In Amazon S3, una configurazione del ciclo di vita è un insieme di regole che definiscono le azioni che Amazon S3 deve applicare a un gruppo di oggetti in un bucket. Per un bucket di directory S3, puoi creare una regola del ciclo di vita che specifica quando gli oggetti scadono in base all'età (in giorni). Puoi anche creare una regola del ciclo di vita che elimini i caricamenti multiparte incompleti. A differenza di altri tipi di bucket S3, come i bucket generici, i bucket di directory non supportano altri tipi di azioni per le regole del ciclo di vita, come la transizione di oggetti tra classi di storage.
### Correzione
Per definire una configurazione del ciclo di vita per un bucket di directory S3, crea una regola del ciclo di vita per il bucket. Per ulteriori informazioni, consulta [Creazione e gestione di una configurazione del ciclo di vita per il tuo bucket di directory nella Guida](https://docs.aws.amazon.com/AmazonS3/latest/userguide/directory-bucket-create-lc.html) per l'utente di *Amazon Simple Storage Service*.
# Controlli CSPM Security Hub per AI SageMaker
Questi AWS Security Hub CSPM controlli valutano il servizio e le risorse di Amazon SageMaker AI. I controlli potrebbero non essere disponibili tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [SageMaker.1] Le istanze di SageMaker notebook Amazon non devono avere accesso diretto a Internet
**Requisiti correlati:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (11), (16) NIST.800-53.r5 AC-6, (20) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS versione 3.2.1/1.2.1, NIST.800-53.r5 SC-7 PCI DSS versione 3.2.1/1.3.1, PCI DSS versione 3.2.1/1.3.2, PCI DSS versione 3.2.1/1.3.4, PCI DSS versione 3.2.1/1.3.4, PCI DSS versione 3.2.1/1.3.4 2.1/1.3.6, PCI DSS versione 4.0.1/1.4.4 NIST.800-53.r5 SC-7
**Categoria:** Protezione > Configurazione di rete protetta
**Gravità:** alta
**Tipo di risorsa:** `AWS::SageMaker::NotebookInstance`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-no-direct-internet-access.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-no-direct-internet-access.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se l'accesso diretto a Internet è disabilitato per un'istanza di notebook SageMaker AI. Il controllo fallisce se il `DirectInternetAccess` campo è abilitato per l'istanza del notebook.
Se configuri la tua istanza SageMaker AI senza un VPC, per impostazione predefinita è abilitato l'accesso diretto a Internet sull'istanza. È necessario configurare l'istanza con un VPC e modificare l'impostazione predefinita su **Disabilita: accedi a Internet tramite** un VPC. Per addestrare o ospitare modelli da un notebook, è necessario l'accesso a Internet. Per abilitare l'accesso a Internet, il VPC deve disporre di un endpoint di interfaccia (AWS PrivateLink) o di un gateway NAT e di un gruppo di sicurezza che consenta le connessioni in uscita. Per ulteriori informazioni su come connettere un'istanza di notebook alle risorse in un VPC, consulta [Connettere un'istanza di notebook alle risorse in un VPC nella *Amazon SageMaker * AI Developer](https://docs.aws.amazon.com/sagemaker/latest/dg/appendix-notebook-and-internet-access.html) Guide. Dovresti inoltre assicurarti che l'accesso alla tua configurazione SageMaker AI sia limitato ai soli utenti autorizzati. Limita le autorizzazioni IAM che consentono agli utenti di modificare le impostazioni e le risorse SageMaker AI.
### Correzione
Non è possibile modificare l'impostazione di accesso a Internet dopo aver creato un'istanza di notebook. Puoi invece interrompere, eliminare e ricreare l'istanza con accesso a Internet bloccato. Per eliminare un'istanza di notebook che consente l'accesso diretto a Internet, consulta [Use notebook instances to build models: Clean up](https://docs.aws.amazon.com/sagemaker/latest/dg/ex1-cleanup.html) nella *Amazon SageMaker AI Developer Guide*. Per ricreare un'istanza di notebook che nega l'accesso a Internet, consulta [Creare un'](https://docs.aws.amazon.com/sagemaker/latest/dg/howitworks-create-ws.html)istanza notebook. Per **Rete, accesso diretto a Internet**, scegli **Disabilita: accedi a Internet tramite un** VPC.
## [SageMaker.2] le istanze dei SageMaker notebook devono essere avviate in un VPC personalizzato
**Requisiti correlati:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7
**Categoria:** Protezione > Configurazione di rete sicura > Risorse all'interno del VPC
**Gravità:** alta
**Tipo di risorsa:** `AWS::SageMaker::NotebookInstance`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-inside-vpc.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-inside-vpc.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un'istanza di notebook Amazon SageMaker AI viene avviata all'interno di un cloud privato virtuale (VPC) personalizzato. Questo controllo fallisce se un'istanza di notebook SageMaker AI non viene avviata all'interno di un VPC personalizzato o se viene avviata nel servizio SageMaker AI VPC.
Le sottoreti sono un intervallo di indirizzi IP all'interno di un VPC. Ti consigliamo di mantenere le tue risorse all'interno di un VPC personalizzato ogni volta che è possibile per garantire una protezione di rete sicura della tua infrastruttura. Un Amazon VPC è una rete virtuale dedicata al tuo. Account AWS Con Amazon VPC, puoi controllare l'accesso alla rete e la connettività Internet delle tue istanze di SageMaker AI Studio e notebook.
### Correzione
Non è possibile modificare l'impostazione del VPC dopo aver creato un'istanza del notebook. Puoi invece interrompere, eliminare e ricreare l'istanza. Per istruzioni, consulta [Usare le istanze di notebook per creare modelli: pulisci](https://docs.aws.amazon.com/sagemaker/latest/dg/ex1-cleanup.html) nella *Amazon SageMaker AI Developer Guide*.
## [SageMaker.3] Gli utenti non devono avere accesso root alle SageMaker istanze dei notebook
**Requisiti correlati:** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 (10), NIST.800-53.r5 AC-6 (2)
**Categoria:** Protezione > Gestione sicura degli accessi > Restrizioni all'accesso degli utenti root
**Gravità:** alta
**Tipo di risorsa:** `AWS::SageMaker::NotebookInstance`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-root-access-check.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-root-access-check.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se l'accesso root è attivato per un'istanza di notebook Amazon SageMaker AI. Il controllo fallisce se l'accesso root è attivato per un'istanza di notebook SageMaker AI.
In conformità al principio del privilegio minimo, si consiglia di limitare l'accesso root alle risorse dell'istanza per evitare il sovra-provisioning involontario delle autorizzazioni.
### Correzione
Per limitare l'accesso root alle istanze di notebook SageMaker AI, consulta [Controllare l'accesso root a un'istanza di notebook SageMaker AI](https://docs.aws.amazon.com/sagemaker/latest/dg/nbi-root-access.html) nella *Amazon SageMaker AI Developer Guide*.
## [SageMaker.4] Le varianti di produzione di SageMaker endpoint devono avere un numero iniziale di istanze superiore a 1
**Requisiti correlati:** NIST.800-53.r5 SC-3 6 NIST.800-53.r5 CP-10, NIST.800-53.r5 SC-5, 3 NIST.800-53.r5 SA-1
**Categoria:** Recupero > Resilienza > Alta disponibilità
**Gravità:** media
**Tipo di risorsa:** `AWS::SageMaker::EndpointConfig`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-endpoint-config-prod-instance-count.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-endpoint-config-prod-instance-count.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se le varianti di produzione di un endpoint Amazon SageMaker AI hanno un numero iniziale di istanze superiore a 1. Il controllo fallisce se le varianti di produzione dell'endpoint hanno solo 1 istanza iniziale.
Le varianti di produzione eseguite con un numero di istanze superiore a 1 consentono la ridondanza delle istanze Multi-AZ gestita dall'IA. SageMaker L'implementazione di risorse su più zone di disponibilità è una AWS best practice per fornire un'elevata disponibilità all'interno dell'architettura. L'elevata disponibilità consente di riprendersi dagli incidenti di sicurezza.
**Nota**
Questo controllo si applica solo alla configurazione degli endpoint basata sull'istanza.
### Correzione
Per ulteriori informazioni sui parametri di configurazione degli endpoint, consulta [Create an endpoint configuration](https://docs.aws.amazon.com/sagemaker/latest/dg/serverless-endpoints-create.html#serverless-endpoints-create-config) nella *Amazon SageMaker AI Developer* Guide.
## [SageMaker.5] i SageMaker modelli devono avere l'isolamento della rete abilitato
**Categoria:** Protezione > Configurazione sicura della rete > Risorse non accessibili al pubblico
**Gravità:** media
**Tipo di risorsa:** `AWS::SageMaker::Model`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-isolation-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-isolation-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un modello ospitato da Amazon SageMaker AI ha l'isolamento di rete abilitato. Il controllo fallisce se il `EnableNetworkIsolation` parametro per il modello ospitato è impostato su`False`.
SageMaker La formazione sull'intelligenza artificiale e i contenitori di inferenza distribuiti sono abilitati a Internet per impostazione predefinita. Se non vuoi che l' SageMaker intelligenza artificiale fornisca l'accesso alla rete esterna ai tuoi contenitori di formazione o inferenza, puoi abilitare l'isolamento della rete. Se abiliti l'isolamento della rete, non è possibile effettuare chiamate di rete in entrata o in uscita da o verso il contenitore del modello, incluse le chiamate da o verso altri. Servizi AWS Inoltre, non vengono rese disponibili AWS credenziali per l'ambiente di runtime del contenitore. L'abilitazione dell'isolamento della rete aiuta a prevenire l'accesso involontario alle risorse di SageMaker intelligenza artificiale da Internet.
**Nota**
Il 13 agosto 2025, Security Hub CSPM ha cambiato il titolo e la descrizione di questo controllo. Il nuovo titolo e la nuova descrizione riflettono in modo più accurato che il controllo verifica l'impostazione del `EnableNetworkIsolation` parametro dei modelli ospitati da Amazon SageMaker AI. In precedenza, il titolo di questo controllo era: *SageMaker models should block inbound traffic*.
### Correzione
Per ulteriori informazioni sull'isolamento della rete per i modelli di SageMaker intelligenza artificiale, consulta [Esegui contenitori di formazione e inferenza in modalità senza Internet](https://docs.aws.amazon.com/sagemaker/latest/dg/mkt-algo-model-internet-free.html) nella *Amazon SageMaker AI* Developer Guide. Quando crei un modello, puoi abilitare l'isolamento della rete impostando il valore del parametro su. `EnableNetworkIsolation` `True`
## [SageMaker.6] le configurazioni delle immagini delle SageMaker app devono essere contrassegnate
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::SageMaker::AppImageConfig`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-app-image-config-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-app-image-config-tagged.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Un elenco di chiavi di tag non di sistema che devono essere assegnate a una risorsa valutata. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se la configurazione dell'immagine di un'app Amazon SageMaker AI (`AppImageConfig`) ha le chiavi dei tag specificate dal `requiredKeyTags` parametro. Il controllo fallisce se la configurazione dell'immagine dell'app non ha alcuna chiave di tag o non ha tutte le chiavi specificate dal `requiredKeyTags` parametro. Se non specificate alcun valore per il `requiredKeyTags` parametro, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se la configurazione dell'immagine dell'app non ha alcuna chiave di tag. Il controllo ignora i tag di sistema, che vengono applicati automaticamente e hanno il `aws:` prefisso.
Un tag è un'etichetta che si crea e si assegna a una risorsa. AWS Ogni tag è composto da una chiave di tag obbligatoria e da un valore di tag opzionale. È possibile utilizzare i tag per classificare le risorse in base allo scopo, al proprietario, all'ambiente o ad altri criteri. Possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. Possono anche aiutarti a tenere traccia delle azioni e delle notifiche dei proprietari delle risorse. Puoi anche utilizzare i tag per implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione. *Per ulteriori informazioni sulle strategie ABAC, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella IAM User Guide.* Per ulteriori informazioni sui tag, consulta la Guida per l'utente di [Tagging AWS Resources and Tag Editor](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**Nota**
Non memorizzare informazioni personali identificabili o altre informazioni riservate o sensibili nei tag. I tag sono accessibili da molti Servizi AWS. Non sono destinati a essere utilizzati per dati privati o sensibili.
### Correzione
Per aggiungere tag a una configurazione dell'immagine di un'app Amazon SageMaker AI (`AppImageConfig`), puoi utilizzare il [AddTags](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_AddTags.html)funzionamento dell'API SageMaker AI o, se utilizzi il AWS CLI, eseguire il comando [add-tags](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/add-tags.html).
## [SageMaker.7] SageMaker le immagini devono essere taggate
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::SageMaker::Image`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-image-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-image-tagged.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Un elenco di chiavi di tag non di sistema che devono essere assegnate a una risorsa valutata. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un'immagine Amazon SageMaker AI ha le chiavi dei tag specificate dal `requiredKeyTags` parametro. Il controllo fallisce se l'immagine non ha alcuna chiave di tag o non ha tutte le chiavi specificate dal `requiredKeyTags` parametro. Se non specificate alcun valore per il `requiredKeyTags` parametro, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'immagine non ha alcuna chiave di tag. Il controllo ignora i tag di sistema, che vengono applicati automaticamente e hanno il `aws:` prefisso.
Un tag è un'etichetta che si crea e si assegna a una risorsa. AWS Ogni tag è composto da una chiave di tag obbligatoria e da un valore di tag opzionale. È possibile utilizzare i tag per classificare le risorse in base allo scopo, al proprietario, all'ambiente o ad altri criteri. Possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. Possono anche aiutarti a tenere traccia delle azioni e delle notifiche dei proprietari delle risorse. Puoi anche utilizzare i tag per implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione. *Per ulteriori informazioni sulle strategie ABAC, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella IAM User Guide.* Per ulteriori informazioni sui tag, consulta la Guida per l'utente di [Tagging AWS Resources and Tag Editor](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**Nota**
Non memorizzare informazioni personali identificabili o altre informazioni riservate o sensibili nei tag. I tag sono accessibili da molti Servizi AWS. Non sono destinati a essere utilizzati per dati privati o sensibili.
### Correzione
Per aggiungere tag a un'immagine Amazon SageMaker AI, puoi utilizzare il [AddTags](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_AddTags.html)funzionamento dell'API SageMaker AI o, se utilizzi il AWS CLI, eseguire il comando [add-tags](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/add-tags.html).
## [SageMaker.8] le istanze SageMaker notebook devono essere eseguite su piattaforme supportate
**Categoria:** Rileva > Gestione di vulnerabilità, patch e versioni
**Gravità:** media
**Tipo di risorsa:** `AWS::SageMaker::NotebookInstance`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-platform-version.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-platform-version.html)
**Tipo di pianificazione:** periodica
**Parametri:**
+ `supportedPlatformIdentifierVersions`: `notebook-al2-v3` (non personalizzabile)
Questo controllo verifica se un'istanza di notebook Amazon SageMaker AI è configurata per l'esecuzione su una piattaforma supportata, in base all'identificatore della piattaforma specificato per l'istanza del notebook. Il controllo fallisce se l'istanza del notebook è configurata per l'esecuzione su una piattaforma che non è più supportata.
Se la piattaforma per un'istanza di notebook Amazon SageMaker AI non è più supportata, potrebbe non ricevere patch di sicurezza, correzioni di bug o altri tipi di aggiornamenti. Le istanze notebook potrebbero continuare a funzionare, ma non riceveranno aggiornamenti di sicurezza SageMaker AI o correzioni di bug critici. Ti assumi i rischi associati all'utilizzo di una piattaforma non supportata. Per ulteriori informazioni, consulta il [JupyterLabcontrollo delle versioni](https://docs.aws.amazon.com/sagemaker/latest/dg/nbi-jl.html) nella *Amazon SageMaker AI Developer Guide*.
### Correzione
Per informazioni sulle piattaforme attualmente supportate da Amazon SageMaker AI e su come migrare verso di esse, consulta le [istanze di notebook Amazon Linux 2](https://docs.aws.amazon.com/sagemaker/latest/dg/nbi-al2.html) nella *Amazon SageMaker AI Developer* Guide.
## [SageMaker.9] le definizioni dei lavori relativi alla qualità SageMaker dei dati devono avere la crittografia del traffico tra container abilitata
**Categoria:** Proteggi > Protezione dei dati > Crittografia di data-in-transit
**Gravità:** media
**Tipo di risorsa:** `AWS::SageMaker::DataQualityJobDefinition`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-data-quality-job-encrypt-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-data-quality-job-encrypt-in-transit.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se una definizione di processo di qualità dei dati di Amazon SageMaker AI ha la crittografia abilitata per il traffico tra container. Il controllo fallisce se la definizione di un processo che monitora la qualità e la deriva dei dati non ha la crittografia abilitata per il traffico tra container.
L'abilitazione della crittografia del traffico tra container protegge i dati ML sensibili durante l'elaborazione distribuita per l'analisi della qualità dei dati.
### Correzione
Per ulteriori informazioni sulla crittografia del traffico tra container per Amazon SageMaker AI, consulta [Protect Communications Between ML Compute Instances in a Distributed Training Job nella](https://docs.aws.amazon.com/sagemaker/latest/dg/train-encrypt.html) *Amazon SageMaker * AI Developer Guide. Quando crei una definizione di processo per la qualità dei dati, puoi abilitare la crittografia del traffico tra container impostando il valore del parametro su. `EnableInterContainerTrafficEncryption` `True`
## [SageMaker.10] le definizioni dei processi di spiegabilità dei SageMaker modelli devono avere abilitata la crittografia del traffico tra container
**Categoria:** Proteggi > Protezione dei dati > Crittografia di data-in-transit
**Gravità:** media
**Tipo di risorsa:** `AWS::SageMaker::ModelExplainabilityJobDefinition`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-explainability-job-encrypt-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-explainability-job-encrypt-in-transit.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se una definizione di processo di spiegabilità SageMaker del modello Amazon ha abilitata la crittografia del traffico tra container. Il controllo fallisce se la definizione del processo di spiegabilità del modello non ha abilitato la crittografia del traffico tra container.
L'attivazione della crittografia del traffico tra container protegge i dati ML sensibili come i dati del modello, i set di dati di addestramento, i risultati di elaborazione intermedi, i parametri e i pesi dei modelli durante l'elaborazione distribuita per l'analisi della spiegabilità.
### Correzione
Per quanto riguarda la definizione di un lavoro di spiegabilità SageMaker del modello esistente, la crittografia del traffico tra container non può essere aggiornata. Per creare una nuova definizione di processo di spiegabilità del SageMaker modello con la crittografia del traffico tra container abilitata, utilizza l'API [o la [CLI](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/create-model-explainability-job-definition.html) o](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModelExplainabilityJobDefinition.html) e imposta su. [ CloudFormation[https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_MonitoringNetworkConfig.html#API_MonitoringNetworkConfig_Contents](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_MonitoringNetworkConfig.html#API_MonitoringNetworkConfig_Contents)](https://docs.aws.amazon.com/AWSCloudFormation/latest/TemplateReference/aws-resource-sagemaker-modelexplainabilityjobdefinition.html)`True`
## [SageMaker.11] le definizioni dei processi di qualità SageMaker dei dati devono avere l'isolamento della rete abilitato
**Categoria:** Protezione > Configurazione di rete protetta
**Gravità:** media
**Tipo di risorsa:** `AWS::SageMaker::DataQualityJobDefinition`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-data-quality-job-isolation.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-data-quality-job-isolation.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se una definizione di processo di monitoraggio della qualità dei dati di Amazon SageMaker AI ha l'isolamento della rete abilitato. Il controllo fallisce se l'isolamento della rete è disabilitato nella definizione di un processo che monitora la qualità e la deriva dei dati.
L'isolamento della rete riduce la superficie di attacco e impedisce l'accesso esterno, proteggendo in tal modo da accessi esterni non autorizzati, esposizione accidentale dei dati e potenziale esfiltrazione dei dati.
### Correzione
Per ulteriori informazioni sull'isolamento della rete per l' SageMaker intelligenza artificiale, consulta [Esegui contenitori di formazione e inferenza in modalità senza Internet](https://docs.aws.amazon.com/sagemaker/latest/dg/mkt-algo-model-internet-free.html) nella *Amazon SageMaker AI* Developer Guide. Quando crei una definizione di processo per la qualità dei dati, puoi abilitare l'isolamento della rete impostando il valore del parametro su. `EnableNetworkIsolation` `True`
## [SageMaker.12] Le definizioni dei job di polarizzazione SageMaker del modello devono avere l'isolamento della rete abilitato
**Categoria:** Protezione > Configurazione sicura della rete > Configurazione della politica delle risorse
**Gravità:** media
**Tipo di risorsa:** `AWS::SageMaker::ModelBiasJobDefinition`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-bias-job-isolation.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-bias-job-isolation.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se una definizione di job di polarizzazione SageMaker del modello ha l'isolamento della rete abilitato. Il controllo fallisce se nella definizione del processo di polarizzazione del modello non è abilitato l'isolamento della rete.
L'isolamento della rete impedisce ai job di SageMaker model bias di comunicare con risorse esterne su Internet. Abilitando l'isolamento della rete, vi assicurate che i container del job non possano effettuare connessioni in uscita, riducendo la superficie di attacco e proteggendo i dati sensibili dall'esfiltrazione. Ciò è particolarmente importante per i lavori che trattano dati regolamentati o sensibili.
### Correzione
Per abilitare l'isolamento della rete, è necessario creare una nuova definizione di job di polarizzazione del modello con il `EnableNetworkIsolation` parametro impostato `True` su. L'isolamento della rete non può essere modificato dopo la creazione della definizione del processo. Per creare una nuova definizione di job basato su modelli, consulta [ CreateModelBiasJobDefinition](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModelBiasJobDefinition.html)la *Amazon SageMaker AI Developer Guide*.
## [SageMaker.13] le definizioni dei processi di qualità SageMaker del modello dovrebbero avere la crittografia del traffico tra container abilitata
**Categoria:** Proteggi > Protezione dei dati > Crittografia di data-in-transit
**Gravità:** media
**Tipo di risorsa:** `AWS::SageMaker::ModelQualityJobDefinition`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-quality-job-encrypt-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-quality-job-encrypt-in-transit.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se le definizioni dei processi di qualità dei SageMaker modelli Amazon hanno la crittografia in transito abilitata per il traffico tra container. Il controllo fallisce se una definizione di processo di qualità del modello non ha abilitato la crittografia del traffico tra container.
La crittografia del traffico tra container protegge i dati trasmessi tra i container durante i lavori di monitoraggio della qualità dei modelli distribuiti. Per impostazione predefinita, il traffico tra container non è crittografato. L'attivazione della crittografia aiuta a mantenere la riservatezza dei dati durante l'elaborazione e supporta la conformità ai requisiti normativi per la protezione dei dati in transito.
### Correzione
Per abilitare la crittografia del traffico tra container per la definizione del processo di qualità SageMaker del modello Amazon, devi ricreare la definizione del processo con la configurazione di crittografia in transito appropriata. Per creare una definizione di lavoro di qualità del modello, [ CreateModelQualityJobDefinition](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModelQualityJobDefinition.html)consulta la *Amazon SageMaker AI Developer Guide*.
## [SageMaker.14] le pianificazioni di SageMaker monitoraggio dovrebbero avere l'isolamento della rete abilitato
**Categoria:** Protezione > Configurazione di rete protetta
**Gravità:** media
**Tipo di risorsa:** `AWS::SageMaker::MonitoringSchedule`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-monitoring-schedule-isolation.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-monitoring-schedule-isolation.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se nei piani di SageMaker monitoraggio di Amazon è abilitato l'isolamento della rete. Il controllo fallisce se una pianificazione di monitoraggio è EnableNetworkIsolation impostata su false o non è configurata
L'isolamento della rete impedisce ai job di monitoraggio di effettuare chiamate di rete in uscita, riducendo la superficie di attacco eliminando l'accesso a Internet dai container.
### Correzione
Per informazioni sulla configurazione dell'isolamento della rete nel NetworkConfig parametro durante la creazione o l'aggiornamento di una pianificazione di monitoraggio, consulta [CreateMonitoringSchedule](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateMonitoringSchedule.html)o [ UpdateMonitoringSchedule](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateMonitoringSchedule.html)consulta la *Amazon SageMaker AI Developer Guide*.
## [SageMaker.15] Le definizioni dei job di SageMaker model bias dovrebbero avere abilitata la crittografia del traffico tra container
**Categoria:** Proteggi > Protezione dei dati > Crittografia di data-in-transit
**Gravità:** media
**Tipo di risorsa:** `AWS::SageMaker::ModelBiasJobDefinition`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-bias-job-encrypt-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-bias-job-encrypt-in-transit.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se nelle definizioni dei job di Amazon SageMaker model bias è abilitata la crittografia del traffico tra container quando si utilizzano più istanze di calcolo. Il controllo ha esito negativo se `EnableInterContainerTrafficEncryption` è impostato su false o non è configurato per le definizioni dei processi con un numero di istanze pari o superiore a 2.
EInter-La crittografia del traffico dei container protegge i dati trasmessi tra le istanze di calcolo durante i processi di monitoraggio della distorsione del modello distribuito. La crittografia impedisce l'accesso non autorizzato alle informazioni relative al modello, come i pesi, che vengono trasmessi tra le istanze.
### Correzione
Per abilitare la crittografia del traffico tra container per le definizioni dei processi di distorsione dei SageMaker modelli, imposta il `EnableInterContainerTrafficEncryption` parametro su `True` quando la definizione del processo utilizza più istanze di calcolo. Per informazioni sulla protezione delle comunicazioni tra istanze di calcolo ML, consulta [Protect Communications Between ML Compute Instances in a Distributed Training Job nella](https://docs.aws.amazon.com/sagemaker/latest/dg/train-encrypt.html) *Amazon SageMaker * AI Developer Guide.
# Controlli CSPM di Security Hub per Secrets Manager
Questi AWS Security Hub CSPM controlli valutano il Gestione dei segreti AWS servizio e le risorse.
Questi controlli potrebbero non essere disponibili tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [SecretsManager.1] I segreti di Secrets Manager devono avere la rotazione automatica abilitata
**Requisiti correlati:** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15), PCI DSS v4.0.1/8.6.3, PCI DSS v4.0.1/8.3.9
**Categoria:** Protezione > Sviluppo protetto
**Gravità:** media
**Tipo di risorsa:** `AWS::SecretsManager::Secret`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-rotation-enabled-check.html](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-rotation-enabled-check.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| `maximumAllowedRotationFrequency` | Numero massimo di giorni consentito per la frequenza di rotazione segreta | Numero intero | `1` Da a `365` | Nessun valore predefinito |
Questo controllo verifica se un segreto memorizzato in Gestione dei segreti AWS è configurato con rotazione automatica. Il controllo fallisce se il segreto non è configurato con la rotazione automatica. Se si fornisce un valore personalizzato per il `maximumAllowedRotationFrequency` parametro, il controllo passa solo se il segreto viene ruotato automaticamente all'interno della finestra temporale specificata.
Secrets Manager ti aiuta a migliorare il livello di sicurezza della tua organizzazione. I segreti includono credenziali del database, password e chiavi API di terze parti. È possibile utilizzare Secrets Manager per archiviare i segreti centralmente, crittografarli automaticamente, controllare l'accesso ai segreti e ruotare i segreti in modo sicuro e automatico.
Secrets Manager può ruotare i segreti. È possibile utilizzare la rotazione per sostituire i segreti a lungo termine con segreti a breve termine. La rotazione dei segreti limita il tempo per cui un utente non autorizzato può utilizzare un segreto compromesso. Per questo motivo, dovresti ruotare frequentemente i tuoi segreti. Per saperne di più sulla rotazione, consulta [Ruotare Gestione dei segreti AWS i tuoi segreti nella Guida](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html) per l'*Gestione dei segreti AWS utente*.
### Correzione
Per attivare la rotazione automatica per i segreti di Secrets Manager, consulta [Configurare la rotazione automatica per Gestione dei segreti AWS i segreti utilizzando la console](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotate-secrets_turn-on-for-other.html) nella *Guida per l'Gestione dei segreti AWS utente*. È necessario scegliere e configurare una AWS Lambda funzione per la rotazione.
## [SecretsManager.2] I segreti di Secrets Manager configurati con rotazione automatica dovrebbero ruotare correttamente
**Requisiti correlati:** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15), PCI DSS v4.0.1/8.6.3, PCI DSS v4.0.1/8.3.9
**Categoria:** Protezione > Sviluppo protetto
**Gravità:** media
**Tipo di risorsa:** `AWS::SecretsManager::Secret`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-scheduled-rotation-success-check.html](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-scheduled-rotation-success-check.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un Gestione dei segreti AWS segreto è stato ruotato correttamente in base al programma di rotazione. Se lo `RotationOccurringAsScheduled` è`false`, il controllo fallisce. Il controllo valuta solo i segreti per i quali la rotazione è attivata.
Secrets Manager ti aiuta a migliorare il livello di sicurezza della tua organizzazione. I segreti includono credenziali del database, password e chiavi API di terze parti. È possibile utilizzare Secrets Manager per archiviare i segreti centralmente, crittografarli automaticamente, controllare l'accesso ai segreti e ruotare i segreti in modo sicuro e automatico.
Secrets Manager può ruotare i segreti. È possibile utilizzare la rotazione per sostituire i segreti a lungo termine con segreti a breve termine. La rotazione dei segreti limita il tempo per cui un utente non autorizzato può utilizzare un segreto compromesso. Per questo motivo, dovresti ruotare frequentemente i tuoi segreti.
Oltre a configurare i segreti in modo che ruotino automaticamente, è necessario assicurarsi che tali segreti ruotino correttamente in base alla pianificazione di rotazione.
*Per ulteriori informazioni sulla rotazione, consulta [Rotating your Gestione dei segreti AWS secret](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html) nella Guida per l'utente.Gestione dei segreti AWS *
### Correzione
Se la rotazione automatica fallisce, Secrets Manager potrebbe aver riscontrato degli errori nella configurazione. Per ruotare i segreti in Secrets Manager, si utilizza una funzione Lambda che definisce come interagire con il database o il servizio proprietario del segreto.
*Per facilitare la diagnosi e la correzione degli errori comuni relativi alla rotazione dei segreti, consulta [Risoluzione dei problemi relativi alla Gestione dei segreti AWS rotazione dei segreti](https://docs.aws.amazon.com/secretsmanager/latest/userguide/troubleshoot_rotation.html) nella Guida per l'Gestione dei segreti AWS utente.*
## [SecretsManager.3] Rimuovi i segreti inutilizzati di Secrets Manager
**Requisiti correlati:** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15)
**Categoria:** Protezione > Gestione degli accessi sicuri
**Gravità:** media
**Tipo di risorsa:** `AWS::SecretsManager::Secret`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-unused.html](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-unused.html)
**Tipo di pianificazione:** periodica
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| `unusedForDays` | Numero massimo di giorni in cui un segreto può rimanere inutilizzato | Numero intero | `1` Da a `365` | `90` |
Questo controllo verifica se è stato effettuato l'accesso a un Gestione dei segreti AWS segreto entro il periodo di tempo specificato. Il controllo ha esito negativo se un segreto non viene utilizzato oltre il periodo di tempo specificato. A meno che non si fornisca un valore di parametro personalizzato per il periodo di accesso, Security Hub CSPM utilizza un valore predefinito di 90 giorni.
L'eliminazione dei segreti inutilizzati è importante tanto quanto la rotazione dei segreti. I segreti non utilizzati possono essere sfruttati in modo improprio dai precedenti utenti, che non hanno più bisogno di accedere a questi segreti. Inoltre, man mano che sempre più utenti accedono a un segreto, qualcuno potrebbe averlo gestito male e divulgato a un'entità non autorizzata, il che aumenta il rischio di abuso. L'eliminazione di segreti inutilizzati aiuta a revocare l'accesso segreto agli utenti che non ne hanno più bisogno. Inoltre aiuta a ridurre i costi di utilizzo di Secrets Manager. Pertanto, è essenziale eliminare regolarmente i segreti non utilizzati.
### Correzione
Per eliminare i segreti inattivi di Secrets Manager, consulta [Eliminare un Gestione dei segreti AWS segreto](https://docs.aws.amazon.com/secretsmanager/latest/userguide/manage_delete-secret.html) nella *Guida per l'Gestione dei segreti AWS utente*.
## [SecretsManager.4] I segreti di Secrets Manager devono essere ruotati entro un determinato numero di giorni
**Requisiti correlati:** NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15), PCI DSS v4.0.1/8.6.3, PCI DSS v4.0.1/8.3.9
**Categoria:** Protezione > Gestione degli accessi sicuri
**Gravità:** media
**Tipo di risorsa:** `AWS::SecretsManager::Secret`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-periodic-rotation.html](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-periodic-rotation.html)
**Tipo di pianificazione:** periodica
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| `maxDaysSinceRotation` | Numero massimo di giorni in cui un segreto può rimanere invariato | Numero intero | `1` Da a `180` | `90` |
Questo controllo verifica se un Gestione dei segreti AWS segreto viene ruotato almeno una volta entro l'intervallo di tempo specificato. Il controllo fallisce se un segreto non viene ruotato almeno così frequentemente. A meno che non si fornisca un valore di parametro personalizzato per il periodo di rotazione, Security Hub CSPM utilizza un valore predefinito di 90 giorni.
La rotazione dei segreti può aiutarti a ridurre il rischio di un uso non autorizzato dei tuoi segreti all'interno del tuo. Account AWS Gli esempi includono credenziali di database, password, chiavi API di terze parti e persino testo arbitrario. Se non modifichi i tuoi segreti per un lungo periodo di tempo, è più probabile che i segreti vengano compromessi.
Man mano che sempre più utenti accedono a un segreto, è più probabile che qualcuno lo abbia gestito male e lo abbia divulgato a un'entità non autorizzata. I segreti possono essere fatti trapelare attraverso i log e i dati della cache. Possono essere condivisi per scopi di debug e non modificati o revocati una volta completato il debug. Per tutti questi motivi, i segreti dovrebbero essere ruotati frequentemente.
È possibile configurare la rotazione automatica dei segreti in. Gestione dei segreti AWS Con la rotazione automatica, è possibile sostituire i segreti a lungo termine con quelli a breve termine, riducendo notevolmente il rischio di compromissione. Ti consigliamo di configurare la rotazione automatica per i tuoi segreti di Secrets Manager. Per ulteriori informazioni, consulta [Rotazione dei segreti Gestione dei segreti AWS](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html) nella *Guida per l'utente di Gestione dei segreti AWS *.
### Correzione
Per attivare la rotazione automatica per i segreti di Secrets Manager, consulta [Configurare la rotazione automatica per Gestione dei segreti AWS i segreti utilizzando la console](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotate-secrets_turn-on-for-other.html) nella *Guida per l'Gestione dei segreti AWS utente*. È necessario scegliere e configurare una AWS Lambda funzione per la rotazione.
## [SecretsManager.5] I segreti di Secrets Manager devono essere etichettati
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::SecretsManager::Secret`
**AWS Config regola:** `tagged-secretsmanager-secret` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | No default value |
Questo controllo verifica se un Gestione dei segreti AWS segreto contiene tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se il segreto non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il segreto non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
Per aggiungere tag a un segreto di Secrets Manager, consulta [Tag Gestione dei segreti AWS secrets](https://docs.aws.amazon.com/secretsmanager/latest/userguide/managing-secrets_tagging.html) nella *Guida Gestione dei segreti AWS per l'utente*.
# Controlli CSPM Security Hub per AWS Service Catalog
Questo AWS Security Hub CSPM controllo valuta il AWS Service Catalog servizio e le risorse. Il controllo potrebbe non essere disponibile in tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [ServiceCatalog.1] I portafogli Service Catalog devono essere condivisi solo all'interno di un'organizzazione AWS
**Requisiti correlati:** NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-6 NIST.800-53.r5 CM-8, NIST.800-53.r5 SC-7
**Categoria:** Protezione > Gestione degli accessi sicuri
**Gravità:** media
**Tipo di risorsa:** `AWS::ServiceCatalog::Portfolio`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/service-catalog-shared-within-organization.html](https://docs.aws.amazon.com/config/latest/developerguide/service-catalog-shared-within-organization.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se AWS Service Catalog condivide i portafogli all'interno di un'organizzazione quando l'integrazione con AWS Organizations è abilitata. Il controllo fallisce se i portafogli non sono condivisi all'interno di un'organizzazione.
La condivisione del portafoglio solo all'interno di Organizations aiuta a garantire che un portafoglio non venga condiviso con persone errate Account AWS. Per condividere un portafoglio Service Catalog con un account in un'organizzazione, Security Hub CSPM consiglia di utilizzare `ORGANIZATION_MEMBER_ACCOUNT` invece di. `ACCOUNT` Ciò semplifica l'amministrazione regolando l'accesso concesso all'account in tutta l'organizzazione. Se hai l'esigenza aziendale di condividere i portafogli Service Catalog con un account esterno, puoi [eliminare automaticamente i risultati](automation-rules.md) da questo controllo o [disabilitarlo](disable-controls-overview.md).
### Correzione
Per abilitare la condivisione del portafoglio con AWS Organizations, consulta [Condivisione con AWS Organizations](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/catalogs_portfolios_sharing_how-to-share.html#portfolio-sharing-organizations) nella Guida per l'*AWS Service Catalog amministratore*.
# Controlli CSPM del Security Hub per Amazon SES
Questi AWS Security Hub CSPM controlli valutano il servizio e le risorse Amazon Simple Email Service (Amazon SES).
Questi controlli potrebbero non essere disponibili tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [SES.1] Gli elenchi di contatti SES devono essere etichettati
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::SES::ContactList`
**AWS Config regola:** `tagged-ses-contactlist` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un elenco di contatti di Amazon SES contiene tag con le chiavi specifiche definite nel parametro`requiredTagKeys`. Il controllo fallisce se l'elenco dei contatti non ha alcuna chiave tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave tag e fallisce se l'elenco dei contatti non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
Per aggiungere tag a un elenco di contatti di Amazon SES, consulta [TagResource](https://docs.aws.amazon.com/ses/latest/APIReference-V2/API_TagResource.html)*Amazon SES API v2 Reference*.
## [SES.2] I set di configurazione SES devono essere etichettati
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::SES::ConfigurationSet`
**AWS Config regola:** `tagged-ses-configurationset` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un set di configurazione Amazon SES contiene tag con le chiavi specifiche definite nel parametro`requiredTagKeys`. Il controllo fallisce se il set di configurazione non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il set di configurazione non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
Per aggiungere tag a un set di configurazione Amazon SES, consulta [TagResource](https://docs.aws.amazon.com/ses/latest/APIReference-V2/API_TagResource.html)*Amazon SES API v2 Reference*.
## [SES.3] I set di configurazione SES devono avere TLS abilitato per l'invio di e-mail
**Categoria:** Proteggi > Protezione dei dati > Crittografia di data-in-transit
**Gravità:** media
**Tipo di risorsa:** `AWS::SES::ConfigurationSet`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ses-sending-tls-required.html](https://docs.aws.amazon.com/config/latest/developerguide/ses-sending-tls-required.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un set di configurazione Amazon SES richiede connessioni TLS. Il controllo fallisce se la politica TLS non è impostata su `'REQUIRE'` per un set di configurazione.
Per impostazione predefinita, Amazon SES utilizza il TLS opportunistico, il che significa che le e-mail possono essere inviate in modo non crittografato se non è possibile stabilire una connessione TLS con il server di posta ricevente. L'applicazione del TLS per l'invio di e-mail garantisce che i messaggi vengano recapitati solo quando è possibile stabilire una connessione crittografata sicura. Questo aiuta a proteggere la riservatezza e l'integrità dei contenuti e-mail durante la trasmissione tra Amazon SES e il server di posta del destinatario. Se non è possibile stabilire una connessione TLS sicura, il messaggio non verrà recapitato, evitando la potenziale esposizione di informazioni sensibili.
**Nota**
Sebbene TLS 1.3 sia il metodo di consegna predefinito per Amazon SES, senza imporre i requisiti TLS tramite set di configurazione, i messaggi potrebbero essere recapitati in testo semplice se una connessione TLS fallisce. Per passare questo controllo, è necessario configurare la politica TLS `'REQUIRE'` nelle opzioni di consegna del set di configurazione SES. Quando è richiesto TLS, i messaggi vengono recapitati solo se è possibile stabilire una connessione TLS con il server di posta ricevente.
### Correzione
Per configurare Amazon SES in modo che richieda connessioni TLS per un set di configurazione, consulta [Amazon SES e i protocolli di sicurezza](https://docs.aws.amazon.com/ses/latest/dg/security-protocols.html#security-ses-to-receiver) nella *Amazon SES Developer Guide*.
# Controlli CSPM del Security Hub per Amazon SNS
Questi AWS Security Hub CSPM controlli valutano il servizio e le risorse Amazon Simple Notification Service (Amazon SNS). I controlli potrebbero non essere disponibili tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [SNS.1] Gli argomenti SNS devono essere crittografati quando sono inattivi utilizzando AWS KMS
**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.r5 SI-7 ( NIST.800-53.r5 SC-26), NIST.800-53.r5 SC-7 NIST.800-171.r2 3.13.11, NIST.800-171.r2 3.13.16
**Categoria**: Protezione > Protezione dei dati > Crittografia di data-at-rest
**Gravità:** media
**Tipo di risorsa:** `AWS::SNS::Topic`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sns-encrypted-kms.html](https://docs.aws.amazon.com/config/latest/developerguide/sns-encrypted-kms.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un argomento Amazon SNS è crittografato a riposo utilizzando chiavi gestite in AWS Key Management Service ()AWS KMS. I controlli falliscono se l'argomento SNS non utilizza una chiave KMS per la crittografia lato server (SSE). Per impostazione predefinita, SNS archivia messaggi e file utilizzando la crittografia del disco. Per passare questo controllo, devi invece scegliere di utilizzare una chiave KMS per la crittografia. Ciò aggiunge un ulteriore livello di sicurezza e offre una maggiore flessibilità nel controllo degli accessi.
La crittografia dei dati inattivi riduce il rischio di accesso ai dati archiviati su disco da parte di un utente non autenticato. AWS Le autorizzazioni API sono necessarie per decrittografare i dati prima che possano essere letti. Ti consigliamo di crittografare gli argomenti SNS con chiavi KMS per un ulteriore livello di sicurezza.
### Correzione
*Per abilitare SSE per un argomento SNS, consulta [Enabling server-side encryption (SSE) per un argomento Amazon SNS nella Amazon Simple Notification Service Developer](https://docs.aws.amazon.com/sns/latest/dg/sns-enable-encryption-for-topic.html) Guide.* Prima di poter utilizzare SSE, devi anche configurare AWS KMS key le politiche per consentire la crittografia degli argomenti e la crittografia e la decrittografia dei messaggi. Per ulteriori informazioni, consulta [Configurazione delle AWS KMS autorizzazioni](https://docs.aws.amazon.com/sns/latest/dg/sns-key-management.html#sns-what-permissions-for-sse) nella Guida per gli *sviluppatori di Amazon Simple Notification Service*.
## [SNS.2] La registrazione dello stato di consegna deve essere abilitata per i messaggi di notifica inviati a un argomento
**Importante**
Security Hub CSPM ha ritirato questo controllo nell'aprile 2024. Per ulteriori informazioni, consulta [Registro delle modifiche per i controlli CSPM di Security Hub](controls-change-log.md).
**Requisiti correlati: NIST.800-53.r5 AU-12, NIST.800-53.r5** AU-2
**Categoria:** Identificazione > Registrazione
**Gravità:** media
**Tipo di risorsa:** `AWS::SNS::Topic`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sns-topic-message-delivery-notification-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/sns-topic-message-delivery-notification-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se la registrazione è abilitata per lo stato di consegna dei messaggi di notifica inviati a un argomento di Amazon SNS per gli endpoint. Questo controllo fallisce se la notifica dello stato di consegna dei messaggi non è abilitata.
La registrazione è un elemento importante per mantenere l'affidabilità, la disponibilità e le prestazioni dei servizi. La registrazione dello stato di consegna dei messaggi aiuta a fornire informazioni operative, come le seguenti:
+ Sapere se un messaggio è stato consegnato all'endpoint Amazon SNS.
+ Identificare la risposta inviata dall'endpoint Amazon SNS a Amazon SNS.
+ Determinazione del tempo di permanenza del messaggio (il tempo tra il timestamp di pubblicazione e il trasferimento a un endpoint Amazon SNS).
### Correzione
Per configurare la registrazione dello stato di consegna per un argomento, consulta lo stato di [consegna dei messaggi di Amazon SNS nella Amazon Simple](https://docs.aws.amazon.com/sns/latest/dg/sns-topic-attributes.html) *Notification Service Developer* Guide.
## [SNS.3] Gli argomenti SNS devono essere etichettati
**Categoria: Identificazione > Inventario** > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::SNS::Topic`
**AWS Config regola:** `tagged-sns-topic` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | No default value |
Questo controllo verifica se un argomento di Amazon SNS contiene tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se l'argomento non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'argomento non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice sull'etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
Per aggiungere tag a un argomento SNS, consulta [Configurazione dei tag degli argomenti di Amazon SNS nella Amazon Simple](https://docs.aws.amazon.com/sns/latest/dg/sns-tags-configuring.html) *Notification Service Developer* Guide.
## [SNS.4] Le politiche di accesso agli argomenti SNS non dovrebbero consentire l'accesso pubblico
**Categoria:** Protezione > Configurazione sicura della rete > Risorse non accessibili al pubblico
**Severità:** critica
**Tipo di risorsa:** `AWS::SNS::Topic`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sns-topic-no-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/sns-topic-no-public-access.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se la policy di accesso agli argomenti di Amazon SNS consente l'accesso pubblico. Questo controllo fallisce se la policy di accesso agli argomenti di SNS consente l'accesso pubblico.
Utilizzi una policy di accesso di Amazon SNS con un argomento particolare per limitare chi può lavorare su quell'argomento (ad esempio, chi può pubblicare messaggi sull'argomento o chi può abbonarsi). Le policy SNS possono concedere l'accesso ad altri Account AWS utenti o a utenti interni al tuo. Account AWS L'immissione di una jolly (\$1) nel `Principal` campo della policy tematica e la mancanza di condizioni che limitino tale policy può comportare l'esfiltrazione dei dati, la negazione del servizio o l'inserimento indesiderato di messaggi nel servizio da parte di un utente malintenzionato.
**Nota**
Questo controllo non valuta le condizioni delle policy che utilizzano caratteri jolly o variabili. Per produrre un `PASSED` risultato, le condizioni nella politica di accesso di Amazon SNS per un argomento devono utilizzare solo valori fissi, ovvero valori che non contengono caratteri jolly o variabili di policy. Per informazioni sulle variabili di policy, consulta [Variabili e tag nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) per l'*AWS Identity and Access Management utente*.
### Correzione
Per aggiornare le politiche di accesso per un argomento SNS, consulta [Panoramica della gestione degli accessi in Amazon SNS nella Amazon](https://docs.aws.amazon.com/sns/latest/dg/sns-overview-of-managing-access.html) *Simple Notification Service Developer* Guide.
# Controlli CSPM del Security Hub per Amazon SQS
Questi AWS Security Hub CSPM controlli valutano il servizio e le risorse Amazon Simple Queue Service (Amazon SQS). I controlli potrebbero non essere disponibili tutti. Regioni AWS Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [SQS.1] Le code di Amazon SQS devono essere crittografate quando sono inattive
**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-7 (6)
**Categoria: Protezione > Protezione** dei dati > Crittografia di data-at-rest
**Gravità:** media
**Tipo di risorsa:** `AWS::SQS::Queue`
**AWS Config regola:** `sqs-queue-encrypted` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:** nessuno
Questo controllo verifica se una coda Amazon SQS è crittografata quando è inattiva. Il controllo fallisce se la coda non è crittografata con una chiave gestita da SQS (SSE-SQS) o una chiave () (SSE-KMS). AWS Key Management Service AWS KMS
La crittografia dei dati inattivi riduce il rischio che un utente non autorizzato acceda ai dati archiviati su disco. La crittografia lato server (SSE) protegge il contenuto dei messaggi nelle code SQS utilizzando chiavi di crittografia gestite da SQL (SSE-SQS) o chiavi (SSE-KMS). AWS KMS
### Correzione
*Per configurare SSE per una coda SQS, consulta [Configurazione della crittografia lato server (SSE) per una coda (console) nella Amazon Simple Queue Service Developer](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-configure-sse-existing-queue.html) Guide.*
## [SQS.2] Le code SQS devono essere etichettate
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::SQS::Queue`
**AWS Config regola:** `tagged-sqs-queue` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | No default value |
Questo controllo verifica se una coda Amazon SQS ha tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se la coda non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro. `requiredTagKeys` Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se la coda non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
*Per aggiungere tag a una coda esistente utilizzando la console Amazon SQS, [consulta Configuring cost allocation tags for a Amazon SQS queue (console) nella Amazon Simple Queue Service Developer](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-configure-tag-queue.html) Guide.*
## [SQS.3] Le politiche di accesso alla coda SQS non devono consentire l'accesso pubblico
**Categoria:** Protezione > Gestione sicura degli accessi > Risorsa non accessibile al pubblico
**Severità:** critica
**Tipo di risorsa:** `AWS::SQS::Queue`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/sqs-queue-no-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/sqs-queue-no-public-access.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se una policy di accesso di Amazon SQS consente l'accesso pubblico a una coda SQS. Il controllo fallisce se una policy di accesso SQS consente l'accesso pubblico alla coda.
Una policy di accesso di Amazon SQS può consentire l'accesso pubblico a una coda SQS, il che potrebbe consentire a un utente anonimo o a qualsiasi identità AWS IAM autenticata di accedere alla coda. Le policy di accesso SQS in genere forniscono questo accesso specificando il carattere jolly (`*`) nell'`Principal`elemento della policy, non utilizzando condizioni adeguate per limitare l'accesso alla coda, o entrambe le cose. Se una politica di accesso SQS consente l'accesso pubblico, terze parti potrebbero essere in grado di eseguire attività come ricevere messaggi dalla coda, inviare messaggi alla coda o modificare la politica di accesso per la coda. Ciò potrebbe causare eventi come l'esfiltrazione di dati, l'interruzione del servizio o l'inserimento di messaggi nella coda da parte di un autore della minaccia.
**Nota**
Questo controllo non valuta le condizioni delle policy che utilizzano caratteri jolly o variabili. Per produrre un `PASSED` risultato, le condizioni nella policy di accesso di Amazon SQS per una coda devono utilizzare solo valori fissi, ossia valori che non contengono caratteri jolly o variabili di policy. *Per informazioni sulle variabili di policy, consulta [Variabili e tag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) nella Guida per l'AWS Identity and Access Management utente.*
### Correzione
*Per informazioni sulla configurazione della policy di accesso SQS per una coda SQS, consulta [Using custom policies with the Amazon SQS Access Policy Language nella Amazon Simple](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-creating-custom-policies.html) Queue Service Developer Guide.*
# Controlli CSPM Security Hub per Step Functions
Questi AWS Security Hub CSPM controlli valutano il AWS Step Functions servizio e le risorse.
Questi controlli potrebbero non essere disponibili tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [StepFunctions.1] Le macchine a stati Step Functions dovrebbero avere la registrazione attivata
**Requisiti correlati:** PCI DSS v4.0.1/10.4.2
**Categoria:** Identificazione > Registrazione
**Gravità:** media
**Tipo di risorsa:** `AWS::StepFunctions::StateMachine`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/step-functions-state-machine-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/step-functions-state-machine-logging-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| `logLevel` | Livello minimo di registrazione | Enum | `ALL, ERROR, FATAL` | Nessun valore predefinito |
Questo controlla se una macchina a AWS Step Functions stati ha la registrazione attivata. Il controllo fallisce se una macchina a stati non ha la registrazione attivata. Se si fornisce un valore personalizzato per il `logLevel` parametro, il controllo passa solo se la macchina a stati ha il livello di registrazione specificato attivato.
Il monitoraggio aiuta a mantenere l'affidabilità, la disponibilità e le prestazioni di Step Functions. È necessario raccogliere tutti i dati di monitoraggio Servizi AWS che si utilizzano in modo da poter eseguire più facilmente il debug degli errori multipunto. Avere una configurazione di registrazione definita per le tue macchine a stati Step Functions ti consente di tenere traccia della cronologia di esecuzione e dei risultati in Amazon CloudWatch Logs. Facoltativamente, puoi tenere traccia solo degli errori o degli eventi fatali.
### Correzione
Per attivare la registrazione per una macchina a stati Step Functions, consulta [Configure logging](https://docs.aws.amazon.com/step-functions/latest/dg/cw-logs.html#monitoring-logging-configure) nella *AWS Step Functions Developer* Guide.
## [StepFunctions.2] Le attività di Step Functions devono essere etichettate
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::StepFunctions::Activity`
**AWS Config regola:** `tagged-stepfunctions-activity` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un' AWS Step Functions attività ha tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se l'attività non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'attività non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza il tagging, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
Per aggiungere tag a un'attività di Step Functions, consulta [Tagging in Step Functions](https://docs.aws.amazon.com/step-functions/latest/dg/concepts-tagging.html) nella *AWS Step Functions Developer Guide*.
# Controlli CSPM Security Hub per Systems Manager
Questi AWS Security Hub CSPM controlli valutano il servizio e le risorse AWS Systems Manager (SSM). I controlli potrebbero non essere disponibili in tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [SSM.1] Le istanze Amazon EC2 devono essere gestite da AWS Systems Manager
**Requisiti correlati:** PCI DSS v3.2.1/2.4, NIST.800-53.r5 CA-9 (1), 5 (2), 5 (8), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-8, NIST.800-53.r5 CM-8(1), NIST.800-53.r5 CM-8(2), NIST.800-53.r5 CM-8(3), NIST.800-53.r5 SA-1 NIST.800-53.r5 SI-2 (3) NIST.800-53.r5 SA-1 NIST.800-53.r5 SA-3
**Categoria:** Identificazione > Inventario
**Gravità:** media
**Risorsa valutata:** `AWS::EC2::Instance`
**Risorse AWS Config di registrazione richieste:**`AWS::EC2::Instance`, `AWS::SSM::ManagedInstanceInventory`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-managed-by-systems-manager.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-managed-by-systems-manager.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se le istanze EC2 interrotte e in esecuzione nel tuo account sono gestite da. AWS Systems Manager Systems Manager è uno Servizio AWS strumento che puoi utilizzare per visualizzare e controllare la tua AWS infrastruttura.
Per aiutarti a mantenere la sicurezza e la conformità, Systems Manager analizza le istanze gestite interrotte e in esecuzione. Un'istanza gestita è una macchina configurata per l'uso con Systems Manager. Systems Manager segnala quindi o intraprende azioni correttive in caso di violazioni delle policy rilevate. Systems Manager consente inoltre di configurare e mantenere le istanze gestite. Per ulteriori informazioni, consulta la [Guida per l'utente di AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html).
**Nota**
Questo controllo genera `FAILED` risultati per le istanze EC2 che sono istanze di Ripristino di emergenza di elastico di AWS Replication Server gestite da. AWS Un'istanza Replication Server è un'istanza EC2 che viene avviata automaticamente Ripristino di emergenza di elastico di AWS per supportare la replica continua dei dati dai server di origine. AWS rimuove intenzionalmente l'agente Systems Manager (SSM) da queste istanze per mantenere l'isolamento e aiutare a prevenire potenziali percorsi di accesso non intenzionali.
### Correzione
*Per informazioni sulla gestione delle istanze EC2 con AWS Systems Manager, consulta la gestione degli [host di Amazon EC2](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-host-management.html) nella AWS Systems Manager Guida per l'utente.* Nella sezione **Opzioni di configurazione** della AWS Systems Manager console, puoi mantenere le impostazioni predefinite o modificarle secondo necessità per la tua configurazione preferita.
## [SSM.2] Le istanze Amazon EC2 gestite da Systems Manager devono avere uno stato di conformità delle patch pari a CONFORME dopo l'installazione della patch
**Requisiti correlati:** NIST.800-53.r5 CM-8 (3), NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2 (2), NIST.800-53.r5 SI-2 (3), NIST.800-53.r5 SI-2 (4), NIST.800-53.r5 SI-2 (5), NIST.800-171.r2 3.7.1, PCI DSS versione 3.2.1/6.2, PCI DSS versione 4.0.1/2.2.1, PCI DSS versione 4.0.1/6.3.3
**Categoria:** Rilevamento > Servizi di rilevamento
**Gravità:** alta
**Tipo di risorsa:** `AWS::SSM::PatchCompliance`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-patch-compliance-status-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-patch-compliance-status-check.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se lo stato di conformità della patch di Systems Manager è `COMPLIANT` o `NON_COMPLIANT` dopo l'installazione della patch sull'istanza. Il controllo ha esito negativo se lo stato di conformità è`NON_COMPLIANT`. Il controllo controlla solo le istanze gestite da Systems Manager Patch Manager.
L'applicazione di patch alle istanze EC2 come richiesto dall'organizzazione riduce la superficie di attacco della vostra. Account AWS
### Correzione
Systems Manager consiglia di utilizzare [le policy di patch](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager-policies.html) per configurare l'applicazione delle patch per le istanze gestite. È inoltre possibile utilizzare [i documenti Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager-ssm-documents.html), come descritto nella procedura seguente, per applicare patch a un'istanza.
**Per correggere le patch non conformi**
1. Aprire la AWS Systems Manager console all'indirizzo [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Per **Gestione dei nodi**, scegli **Esegui comando**, quindi scegli **Esegui comando**.
1. Scegli l'opzione per **AWS- RunPatchBaseline**.
1. Modificare l'**operazione** su **Install (Installa)**.
1. **Scegli le istanze manualmente**, quindi scegli le istanze non conformi.
1. Scegli **Esegui**.
1. **Una volta completato il comando, per monitorare il nuovo stato di conformità delle istanze a cui è stata applicata la patch, scegli Conformità nel riquadro di navigazione.**
## [SSM.3] Le istanze Amazon EC2 gestite da Systems Manager devono avere uno stato di conformità dell'associazione pari a COMPLIANT
**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2 (2), NIST.800-53.r5 CM-8, NIST.800-53.r5 CM-8 (1), NIST.800-53.r5 CM-8 (3), NIST.800-53.r5 SI-2 (3), PCI DSS versione 3.2.2.4, PCI DSS versione 4.0.1/2.2.1, PCI DSS versione 4.0.1/6.3.3
**Categoria:** Rilevamento > Servizi di rilevamento
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::SSM::AssociationCompliance`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-association-compliance-status-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-association-compliance-status-check.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se lo stato della conformità dell' AWS Systems Manager associazione è `COMPLIANT` o `NON_COMPLIANT` dopo l'esecuzione dell'associazione su un'istanza. Il controllo ha esito negativo se lo stato di conformità dell'associazione è`NON_COMPLIANT`.
Un'associazione State Manager è una configurazione assegnata alle istanze gestite. La configurazione definisce lo stato che desideri mantenere sulle istanze. Ad esempio, un'associazione può specificare che il software antivirus deve essere installato e in esecuzione sulle istanze o che determinate porte devono essere chiuse.
Dopo aver creato una o più associazioni di State Manager, le informazioni sullo stato di conformità sono immediatamente disponibili. È possibile visualizzare lo stato di conformità nella console o in risposta ai AWS CLI comandi o alle azioni API Systems Manager corrispondenti. Per le associazioni, Configuration Compliance mostra lo stato di conformità (`Compliant`o`Non-compliant`). Mostra anche il livello di gravità assegnato all'associazione, ad esempio `Critical` o`Medium`.
Per ulteriori informazioni sulla conformità dell'associazione State Manager, vedere [Informazioni sulla conformità all'associazione State Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-compliance-about.html#sysman-compliance-about-association) nella *Guida per l'AWS Systems Manager utente*.
### Correzione
Un'associazione fallita può essere correlata a diversi fattori, tra cui destinazioni e nomi di documenti Systems Manager. Per risolvere questo problema, è necessario innanzitutto identificare e analizzare l'associazione visualizzando la cronologia delle associazioni. Per istruzioni sulla visualizzazione della cronologia delle associazioni, vedere [Visualizzazione della cronologia delle associazioni nella Guida](https://docs.aws.amazon.com/systems-manager/latest/userguide/state-manager-associations-history.html) per l'*AWS Systems Manager utente*.
Dopo aver esaminato, è possibile modificare l'associazione per correggere il problema identificato. Puoi modificare un'associazione per specificare un nome, una pianificazione, un livello di gravità o target nuovi. Dopo aver modificato un'associazione, AWS Systems Manager crea una nuova versione. Per istruzioni sulla modifica di un'associazione, consulta [Modifica e creazione di una nuova versione di un'associazione](https://docs.aws.amazon.com/systems-manager/latest/userguide/state-manager-associations-edit.html) nella *Guida per l'AWS Systems Manager utente*.
## [SSM.4] I documenti SSM non devono essere pubblici
**Requisiti correlati:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7
**Categoria:** Protezione > Configurazione di rete sicura > Risorse non accessibili al pubblico
**Severità:** critica
**Tipo di risorsa:** `AWS::SSM::Document`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ssm-document-not-public.html](https://docs.aws.amazon.com/config/latest/developerguide/ssm-document-not-public.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se AWS Systems Manager i documenti di proprietà di un account sono pubblici. Il controllo fallisce se i documenti di Systems Manager che hanno `Self` come proprietario sono pubblici.
I documenti pubblici di Systems Manager potrebbero consentire l'accesso non intenzionale ai documenti. Un documento pubblico di Systems Manager può esporre informazioni preziose sull'account, sulle risorse e sui processi interni.
A meno che il tuo caso d'uso non richieda la condivisione pubblica, ti consigliamo di bloccare la condivisione pubblica per i documenti di Systems Manager che hai `Self` come proprietario.
### Correzione
Per informazioni sulla configurazione della condivisione per i documenti di Systems Manager, vedere [Condividi un documento SSM nella Guida](https://docs.aws.amazon.com/systems-manager/latest/userguide/documents-ssm-sharing.html#ssm-how-to-share) per l'*AWS Systems Manager utente*.
## [SSM.5] I documenti SSM devono essere etichettati
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::SSM::Document`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ssm-document-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ssm-document-tagged.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Un elenco di chiavi di tag non di sistema che devono essere assegnate a una risorsa valutata. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un AWS Systems Manager documento ha le chiavi dei tag specificate dal `requiredKeyTags` parametro. Il controllo ha esito negativo se il documento non ha alcuna chiave di tag o non ha tutte le chiavi specificate dal `requiredKeyTags` parametro. Se non specificate alcun valore per il `requiredKeyTags` parametro, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il documento non ha alcuna chiave di tag. Il controllo ignora i tag di sistema, che vengono applicati automaticamente e hanno il `aws:` prefisso. Il controllo non valuta i documenti Systems Manager di proprietà di Amazon.
Un tag è un'etichetta che crei e assegni a una AWS risorsa. Ogni tag è composto da una chiave di tag obbligatoria e da un valore di tag opzionale. È possibile utilizzare i tag per classificare le risorse in base allo scopo, al proprietario, all'ambiente o ad altri criteri. Possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. Possono anche aiutarti a tenere traccia delle azioni e delle notifiche dei proprietari delle risorse. Puoi anche utilizzare i tag per implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione. *Per ulteriori informazioni sulle strategie ABAC, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella IAM User Guide.* Per ulteriori informazioni sui tag, consulta la Guida per l'utente di [Tagging AWS Resources and Tag Editor](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**Nota**
Non memorizzare informazioni personali identificabili o altre informazioni riservate o sensibili nei tag. I tag sono accessibili da molti Servizi AWS. Non sono destinati a essere utilizzati per dati privati o sensibili.
### Correzione
Per aggiungere tag a un AWS Systems Manager documento, puoi utilizzare il [AddTagsToResource](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_AddTagsToResource.html)funzionamento dell' AWS Systems Manager API o, se utilizzi il AWS CLI, eseguire il [add-tags-to-resource](https://docs.aws.amazon.com/cli/latest/reference/ssm/add-tags-to-resource.html)comando. Puoi anche utilizzare la console AWS Systems Manager .
## [SSM.6] SSM Automation dovrebbe avere la registrazione abilitata CloudWatch
**Categoria:** Identificazione > Registrazione
**Gravità:** media
**Tipo di risorsa:** `AWS::::Account`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ssm-automation-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ssm-automation-logging-enabled.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se la CloudWatch registrazione di Amazon è abilitata per l'automazione AWS Systems Manager (SSM). Il controllo fallisce se la CloudWatch registrazione non è abilitata per SSM Automation.
SSM Automation è uno AWS Systems Manager strumento che ti aiuta a creare soluzioni automatizzate per distribuire, configurare e gestire AWS risorse su larga scala utilizzando runbook predefiniti o personalizzati. Per soddisfare i requisiti operativi o di sicurezza dell'organizzazione, potrebbe essere necessario fornire un registro degli script eseguiti. Puoi configurare SSM Automation per inviare l'output `aws:executeScript` delle azioni nei tuoi runbook a un gruppo di log Amazon CloudWatch Logs da te specificato. Con CloudWatch Logs, puoi monitorare, archiviare e accedere a file di registro da diversi file. Servizi AWS
### Correzione
*Per informazioni sull'abilitazione della CloudWatch registrazione per SSM Automation, consulta l'[output dell'azione Logging Automation with CloudWatch Logs](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-action-logging.html) nella Guida per l'utente.AWS Systems Manager *
## [SSM.7] I documenti SSM devono avere l'impostazione di condivisione pubblica a blocchi abilitata
**Categoria:** Protezione > Gestione sicura degli accessi > Risorsa non accessibile al pubblico
**Severità:** critica
**Tipo di risorsa:** `AWS::::Account`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ssm-automation-block-public-sharing.html](https://docs.aws.amazon.com/config/latest/developerguide/ssm-automation-block-public-sharing.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se l'impostazione di blocco della condivisione pubblica è abilitata per AWS Systems Manager i documenti. Il controllo fallisce se l'impostazione di blocco della condivisione pubblica è disabilitata per i documenti di Systems Manager.
L'impostazione di condivisione pubblica a blocchi per i documenti AWS Systems Manager (SSM) è un'impostazione a livello di account. L'attivazione di questa impostazione può impedire l'accesso indesiderato ai documenti SSM. Se abiliti questa impostazione, la modifica non influirà sui documenti SSM che stai attualmente condividendo con il pubblico. A meno che il tuo caso d'uso non richieda la condivisione di documenti SSM con il pubblico, ti consigliamo di abilitare l'impostazione di blocco della condivisione pubblica. L'impostazione può essere diversa per ognuno di essi Regione AWS.
### Correzione
Per informazioni sull'attivazione dell'impostazione di blocco della condivisione pubblica per i documenti AWS Systems Manager (SSM), consulta [Bloccare la condivisione pubblica per i documenti SSM nella Guida](https://docs.aws.amazon.com/systems-manager/latest/userguide/documents-ssm-sharing.html#block-public-access) per l'*AWS Systems Manager utente*.
# Controlli CSPM Security Hub per AWS Transfer Family
Questi AWS Security Hub CSPM controlli valutano il AWS Transfer Family servizio e le risorse. I controlli potrebbero non essere disponibili in tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## I AWS Transfer Family flussi di lavoro [Transfer.1] devono essere etichettati
**Categoria: Identificazione > Inventario** > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::Transfer::Workflow`
**AWS Config regola:** `tagged-transfer-workflow` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | No default value |
Questo controllo verifica se un AWS Transfer Family flusso di lavoro ha tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo ha esito negativo se il flusso di lavoro non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il flusso di lavoro non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice sull'etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
**Per aggiungere tag a un flusso di lavoro Transfer Family (console)**
1. Apri la AWS Transfer Family console.
1. Nel pannello di navigazione, scegli **Workflows** (Flussi di lavoro). Quindi, seleziona il flusso di lavoro a cui desideri taggare.
1. Scegli **Gestisci tag**, quindi aggiungi i tag.
## [Transfer.2] I server Transfer Family non devono utilizzare il protocollo FTP per la connessione agli endpoint
**Requisiti correlati:**, PCI DSS NIST.800-53.r5 CM-7, NIST.800-53.r5 IA-5 NIST.800-53.r5 SC-8 v4.0.1/4.2.1
**Categoria: Proteggi > Protezione dei dati > Crittografia** di data-in-transit
**Gravità:** media
**Tipo di risorsa:** `AWS::Transfer::Server`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/transfer-family-server-no-ftp.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-family-server-no-ftp.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se un AWS Transfer Family server utilizza un protocollo diverso dall'FTP per la connessione agli endpoint. Il controllo fallisce se il server utilizza il protocollo FTP per consentire a un client di connettersi all'endpoint del server.
L'FTP (File Transfer Protocol) stabilisce la connessione all'endpoint tramite canali non crittografati, rendendo i dati inviati su questi canali vulnerabili all'intercettazione. L'utilizzo di SFTP (SSH File Transfer Protocol), FTPS (File Transfer Protocol Secure) o AS2 (Applicability Statement 2) offre un ulteriore livello di sicurezza crittografando i dati in transito e può essere utilizzato per impedire a potenziali aggressori di utilizzare person-in-the-middle o attacchi simili per intercettare o manipolare il traffico di rete.
### Correzione
Per modificare il protocollo per un server Transfer Family, vedere [Modifica i protocolli di trasferimento dei file](https://docs.aws.amazon.com/transfer/latest/userguide/edit-server-config.html#edit-protocols) nella *Guida per l'AWS Transfer Family utente*.
## [Transfer.3] I connettori Transfer Family devono avere la registrazione abilitata
**Requisiti correlati:** NIST.800-53.r5 AC-2 (12), (4), NIST.800-53.r5 AC-2 (26), (9), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-4, NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8)
**Categoria:** Identificazione > Registrazione
**Gravità:** media
**Tipo di risorsa:** `AWS::Transfer::Connector`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/transfer-connector-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-connector-logging-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se la CloudWatch registrazione di Amazon è abilitata per un AWS Transfer Family connettore. Il controllo fallisce se CloudWatch la registrazione non è abilitata per il connettore.
Amazon CloudWatch è un servizio di monitoraggio e osservabilità che offre visibilità sulle tue AWS risorse, comprese le AWS Transfer Family risorse. Per Transfer Family, CloudWatch fornisce un controllo e una registrazione consolidati per l'avanzamento e i risultati del flusso di lavoro. Ciò include diverse metriche che Transfer Family definisce per i flussi di lavoro. È possibile configurare Transfer Family per registrare automaticamente gli eventi del connettore CloudWatch. A tale scopo, è necessario specificare un ruolo di registrazione per il connettore. Per il ruolo di registrazione, crei un ruolo IAM e una policy IAM basata sulle risorse che definisce le autorizzazioni per il ruolo.
### Correzione
Per informazioni sull'abilitazione della CloudWatch registrazione per un connettore Transfer Family, consulta [Amazon CloudWatch logging for AWS Transfer Family servers](https://docs.aws.amazon.com/transfer/latest/userguide/structured-logging.html) nella *AWS Transfer Family User* Guide.
## [Transfer.4] Gli accordi Transfer Family devono essere etichettati
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::Transfer::Agreement`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/transfer-agreement-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-agreement-tagged.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Un elenco di chiavi di tag non di sistema che devono essere assegnate a una risorsa valutata. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un AWS Transfer Family accordo ha le chiavi dei tag specificate dal `requiredKeyTags` parametro. Il controllo ha esito negativo se l'accordo non ha alcuna chiave di tag o non ha tutte le chiavi specificate dal `requiredKeyTags` parametro. Se non specificate alcun valore per il `requiredKeyTags` parametro, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'accordo non ha alcuna chiave di tag. Il controllo ignora i tag di sistema, che vengono applicati automaticamente e hanno il `aws:` prefisso.
Un tag è un'etichetta creata e assegnata a una risorsa. AWS Ogni tag è composto da una chiave di tag obbligatoria e da un valore di tag opzionale. È possibile utilizzare i tag per classificare le risorse in base allo scopo, al proprietario, all'ambiente o ad altri criteri. Possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. Possono anche aiutarti a tenere traccia delle azioni e delle notifiche dei proprietari delle risorse. Puoi anche utilizzare i tag per implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione. *Per ulteriori informazioni sulle strategie ABAC, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella IAM User Guide.* Per ulteriori informazioni sui tag, consulta la Guida per l'utente di [Tagging AWS Resources and Tag Editor](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**Nota**
Non memorizzare informazioni personali identificabili o altre informazioni riservate o sensibili nei tag. I tag sono accessibili da molti Servizi AWS. Non sono destinati a essere utilizzati per dati privati o sensibili.
### Correzione
Per informazioni sull'aggiunta di tag a un AWS Transfer Family accordo, consulta [Metodi di etichettatura delle risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#intro-tag-methods) nella Guida per l'*utente di Tagging AWS Resources and Tag Editor*.
## [Transfer.5] I certificati Transfer Family devono essere etichettati
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::Transfer::Certificate`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/transfer-certificate-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-certificate-tagged.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Un elenco di chiavi di tag non di sistema che devono essere assegnate a una risorsa valutata. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un AWS Transfer Family certificato ha le chiavi dei tag specificate dal `requiredKeyTags` parametro. Il controllo ha esito negativo se il certificato non ha alcuna chiave di tag o non ha tutte le chiavi specificate dal `requiredKeyTags` parametro. Se non specificate alcun valore per il `requiredKeyTags` parametro, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il certificato non ha alcuna chiave di tag. Il controllo ignora i tag di sistema, che vengono applicati automaticamente e hanno il `aws:` prefisso.
Un tag è un'etichetta creata e assegnata a una risorsa. AWS Ogni tag è composto da una chiave di tag obbligatoria e da un valore di tag opzionale. È possibile utilizzare i tag per classificare le risorse in base allo scopo, al proprietario, all'ambiente o ad altri criteri. Possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. Possono anche aiutarti a tenere traccia delle azioni e delle notifiche dei proprietari delle risorse. Puoi anche utilizzare i tag per implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione. *Per ulteriori informazioni sulle strategie ABAC, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella IAM User Guide.* Per ulteriori informazioni sui tag, consulta la Guida per l'utente di [Tagging AWS Resources and Tag Editor](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**Nota**
Non memorizzare informazioni personali identificabili o altre informazioni riservate o sensibili nei tag. I tag sono accessibili da molti Servizi AWS. Non sono destinati a essere utilizzati per dati privati o sensibili.
### Correzione
Per informazioni sull'aggiunta di tag a un AWS Transfer Family certificato, consulta [Metodi di etichettatura delle risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#intro-tag-methods) nella Guida per l'*utente di Tagging AWS Resources and Tag Editor*.
## [Transfer.6] I connettori Transfer Family devono essere etichettati
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::Transfer::Connector`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/transfer-connector-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-connector-tagged.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Un elenco di chiavi di tag non di sistema che devono essere assegnate a una risorsa valutata. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un AWS Transfer Family connettore ha le chiavi dei tag specificate dal `requiredKeyTags` parametro. Il controllo ha esito negativo se il connettore non ha alcuna chiave tag o non ha tutte le chiavi specificate dal `requiredKeyTags` parametro. Se non specificate alcun valore per il `requiredKeyTags` parametro, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il connettore non dispone di chiavi di tag. Il controllo ignora i tag di sistema, che vengono applicati automaticamente e hanno il `aws:` prefisso.
Un tag è un'etichetta creata e assegnata a una risorsa. AWS Ogni tag è composto da una chiave di tag obbligatoria e da un valore di tag opzionale. È possibile utilizzare i tag per classificare le risorse in base allo scopo, al proprietario, all'ambiente o ad altri criteri. Possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. Possono anche aiutarti a tenere traccia delle azioni e delle notifiche dei proprietari delle risorse. Puoi anche utilizzare i tag per implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione. *Per ulteriori informazioni sulle strategie ABAC, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella IAM User Guide.* Per ulteriori informazioni sui tag, consulta la Guida per l'utente di [Tagging AWS Resources and Tag Editor](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**Nota**
Non memorizzare informazioni personali identificabili o altre informazioni riservate o sensibili nei tag. I tag sono accessibili da molti Servizi AWS. Non sono destinati a essere utilizzati per dati privati o sensibili.
### Correzione
Per informazioni sull'aggiunta di tag a un AWS Transfer Family connettore, consulta [Metodi di etichettatura delle risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#intro-tag-methods) nella Guida per l'*utente di Tagging AWS Resources and Tag Editor*.
## [Transfer.7] I profili Transfer Family devono essere etichettati
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::Transfer::Profile`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/transfer-profile-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-profile-tagged.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Un elenco di chiavi di tag non di sistema che devono essere assegnate a una risorsa valutata. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un AWS Transfer Family profilo ha le chiavi dei tag specificate dal `requiredKeyTags` parametro. Il controllo ha esito negativo se il profilo non ha alcuna chiave di tag o non ha tutte le chiavi specificate dal `requiredKeyTags` parametro. Se non specificate alcun valore per il `requiredKeyTags` parametro, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il profilo non ha alcuna chiave di tag. Il controllo ignora i tag di sistema, che vengono applicati automaticamente e hanno il `aws:` prefisso. Il controllo valuta i profili locali e i profili dei partner.
Un tag è un'etichetta che crei e assegni a una AWS risorsa. Ogni tag è composto da una chiave di tag obbligatoria e da un valore di tag opzionale. È possibile utilizzare i tag per classificare le risorse in base allo scopo, al proprietario, all'ambiente o ad altri criteri. Possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. Possono anche aiutarti a tenere traccia delle azioni e delle notifiche dei proprietari delle risorse. Puoi anche utilizzare i tag per implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione. *Per ulteriori informazioni sulle strategie ABAC, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella IAM User Guide.* Per ulteriori informazioni sui tag, consulta la Guida per l'utente di [Tagging AWS Resources and Tag Editor](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**Nota**
Non memorizzare informazioni personali identificabili o altre informazioni riservate o sensibili nei tag. I tag sono accessibili da molti Servizi AWS. Non sono destinati a essere utilizzati per dati privati o sensibili.
### Correzione
Per informazioni sull'aggiunta di tag a un AWS Transfer Family profilo, consulta [Metodi di etichettatura delle risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#intro-tag-methods) nella Guida per l'*utente di Tagging AWS Resources and Tag Editor*.
# Controlli CSPM Security Hub per AWS WAF
Questi AWS Security Hub CSPM controlli valutano il AWS WAF servizio e le risorse. I controlli potrebbero non essere disponibili in tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata
**Requisiti correlati:** NIST.800-53.r5 AC-4 (26), (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 NIST.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.4.2
**Categoria:** Identificazione > Registrazione
**Gravità:** media
**Tipo di risorsa:** `AWS::WAF::WebACL`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/waf-classic-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-classic-logging-enabled.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se la registrazione è abilitata per un ACL web AWS WAF globale. Questo controllo ha esito negativo se la registrazione non è abilitata per l'ACL Web.
La registrazione è un elemento importante per mantenere l'affidabilità, la disponibilità e le prestazioni a livello globale. AWS WAF È un requisito aziendale e di conformità in molte organizzazioni e consente di risolvere i problemi relativi al comportamento delle applicazioni. Fornisce inoltre informazioni dettagliate sul traffico analizzato dall'ACL Web a cui è allegato. AWS WAF
### Correzione
*Per abilitare la registrazione per un ACL AWS WAF Web, consulta la sezione [Registrazione delle informazioni sul traffico ACL Web](https://docs.aws.amazon.com/waf/latest/developerguide/classic-logging.html) nella Developer Guide.AWS WAF *
## [WAF.2] Le regole regionali AWS WAF classiche devono avere almeno una condizione
**Requisiti correlati:** NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), (21) NIST.800-53.r5 SC-7
**Categoria:** Protezione > Configurazione di rete protetta
**Gravità:** media
**Tipo di risorsa:** `AWS::WAFRegional::Rule`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-rule-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-rule-not-empty.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se una regola AWS WAF regionale ha almeno una condizione. Il controllo ha esito negativo se non sono presenti condizioni all'interno di una regola.
Una regola regionale WAF può contenere più condizioni. Le condizioni della regola consentono l'ispezione del traffico e l'esecuzione di un'azione definita (consentire, bloccare o contare). Senza alcuna condizione, il traffico scorre senza ispezioni. Una regola regionale WAF priva di condizioni, ma con un nome o tag che suggerisca di consentire, bloccare o contare, potrebbe indurre a supporre erroneamente che una di queste azioni si stia verificando.
### Correzione
*Per aggiungere una condizione a una regola vuota, consulta [Aggiungere e rimuovere condizioni in una regola nella Guida](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-rules-editing.html) per gli sviluppatori.AWS WAF *
## [WAF.3] I gruppi di regole regionali AWS WAF classici dovrebbero avere almeno una regola
**Requisiti correlati:** NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), (21) NIST.800-53.r5 SC-7
**Categoria:** Protezione > Configurazione di rete protetta
**Gravità:** media
**Tipo di risorsa:** `AWS::WAFRegional::RuleGroup`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-rulegroup-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-rulegroup-not-empty.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un gruppo di regole AWS WAF regionali ha almeno una regola. Il controllo ha esito negativo se non è presente alcuna regola all'interno di un gruppo di regole.
Un gruppo di regole regionali WAF può contenere più regole. Le condizioni della regola consentono l'ispezione del traffico e l'esecuzione di un'azione definita (consentire, bloccare o contare). Senza regole, il traffico scorre senza ispezioni. Un gruppo di regole regionali WAF privo di regole, ma con un nome o un tag che suggerisce l'autorizzazione, il blocco o il numero, potrebbe indurre a supporre erroneamente che una di queste azioni sia in corso.
### Correzione
*Per aggiungere regole e condizioni di regole a un gruppo di regole vuoto, consulta [Aggiungere ed eliminare regole da un gruppo di regole AWS WAF classico e Aggiungere e rimuovere condizioni in una regola](https://docs.aws.amazon.com/waf/latest/developerguide/classic-rule-group-editing.html) [nella Guida](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-rules-editing.html) per gli sviluppatori.AWS WAF *
## [WAF.4] Il sito Web regionale AWS WAF classico ACLs deve avere almeno una regola o un gruppo di regole
**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2
**Categoria:** Protezione > Configurazione di rete protetta
**Gravità:** media
**Tipo di risorsa:** `AWS::WAFRegional::WebACL`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-webacl-not-empty](https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-webacl-not-empty)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un ACL AWS WAF Classic regionale Web contiene regole WAF o gruppi di regole WAF. Questo controllo ha esito negativo se un ACL Web non contiene regole o gruppi di regole WAF.
Un ACL web WAF regionale può contenere una raccolta di regole e gruppi di regole che esaminano e controllano le richieste web. Se un ACL web è vuoto, il traffico web può passare senza essere rilevato o modificato da WAF, a seconda dell'azione predefinita.
### Correzione
*Per aggiungere regole o gruppi di regole a un ACL web regionale AWS WAF classico vuoto, consulta [Modifica di un ACL Web nella Guida per gli sviluppatori](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-editing.html).AWS WAF *
## [WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione
**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2
**Categoria:** Protezione > Configurazione di rete protetta
**Gravità:** media
**Tipo di risorsa:** `AWS::WAF::Rule`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/waf-global-rule-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-global-rule-not-empty.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se una regola AWS WAF globale contiene condizioni. Il controllo ha esito negativo se non sono presenti condizioni all'interno di una regola.
Una regola globale WAF può contenere più condizioni. Le condizioni di una regola consentono l'ispezione del traffico e l'esecuzione di un'azione definita (consentire, bloccare o contare). Senza alcuna condizione, il traffico scorre senza ispezioni. Una regola globale WAF priva di condizioni, ma con un nome o tag che suggerisca di consentire, bloccare o contare, potrebbe portare a supporre erroneamente che una di queste azioni sia in corso.
### Correzione
*Per istruzioni sulla creazione di una regola e sull'aggiunta di condizioni, consulta [Creazione di una regola e aggiunta di condizioni](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-rules-creating.html) nella Guida per gli sviluppatori.AWS WAF *
## [WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola
**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2
**Categoria:** Protezione > Configurazione di rete protetta
**Gravità:** media
**Tipo di risorsa:** `AWS::WAF::RuleGroup`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/waf-global-rulegroup-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-global-rulegroup-not-empty.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un gruppo di regole AWS WAF globale ha almeno una regola. Il controllo ha esito negativo se non è presente alcuna regola all'interno di un gruppo di regole.
Un gruppo di regole globale WAF può contenere più regole. Le condizioni della regola consentono l'ispezione del traffico e l'esecuzione di un'azione definita (consentire, bloccare o contare). Senza regole, il traffico scorre senza ispezioni. Un gruppo di regole globale WAF senza regole, ma con un nome o un tag che suggerisce di consentire, bloccare o contare, potrebbe portare a supporre erroneamente che una di queste azioni sia in corso.
### Correzione
*Per istruzioni sull'aggiunta di una regola a un gruppo di regole, consulta [Creating an AWS WAF Classic rule group](https://docs.aws.amazon.com/waf/latest/developerguide/classic-create-rule-group.html) nella Developer Guide.AWS WAF *
## [WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole
**Requisiti correlati:** NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), (21) NIST.800-53.r5 SC-7
**Categoria:** Protezione > Configurazione di rete protetta
**Gravità:** media
**Tipo di risorsa:** `AWS::WAF::WebACL`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/waf-global-webacl-not-empty](https://docs.aws.amazon.com/config/latest/developerguide/waf-global-webacl-not-empty)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un ACL web AWS WAF globale contiene almeno una regola WAF o un gruppo di regole WAF. Il controllo ha esito negativo se un ACL Web non contiene regole o gruppi di regole WAF.
Un ACL web globale WAF può contenere una raccolta di regole e gruppi di regole che esaminano e controllano le richieste web. Se un ACL Web è vuoto, il traffico Web può passare senza essere rilevato o modificato da WAF, a seconda dell'azione predefinita.
### Correzione
*Per aggiungere regole o gruppi di regole a un ACL web AWS WAF globale vuoto, consulta [Modifica di un ACL web nella Guida per gli sviluppatori](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-editing.html).AWS WAF * Per **Filtro**, scegliete **Globale () CloudFront**.
## [WAF.10] AWS WAF web ACLs dovrebbe avere almeno una regola o un gruppo di regole
**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2
**Categoria:** Protezione > Configurazione di rete protetta
**Gravità:** media
**Tipo di risorsa:** `AWS::WAFv2::WebACL`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/wafv2-webacl-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/wafv2-webacl-not-empty.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un elenco di controllo degli accessi Web AWS WAF V2 (Web ACL) contiene almeno una regola o un gruppo di regole. Il controllo ha esito negativo se un ACL Web non contiene regole o gruppi di regole.
Un ACL Web offre un controllo dettagliato su tutte le richieste Web HTTP (S) a cui risponde la risorsa protetta. Un ACL Web deve contenere una raccolta di regole e gruppi di regole che esaminano e controllano le richieste Web. Se un ACL Web è vuoto, il traffico Web può passare senza essere rilevato o modificato, AWS WAF a seconda dell'azione predefinita.
### Correzione
*Per aggiungere regole o gruppi di regole a un ACL WAFV2 web vuoto, consulta [Modifica di un ACL Web](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-editing.html) nella Guida per gli AWS WAF sviluppatori.*
## [WAF.11] La registrazione AWS WAF web ACL deve essere abilitata
**Requisiti correlati:** NIST.800-53.r5 AC-4 (26), (10), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 NIST.800-53.r5 SC-7 SI-7 (8), PCI DSS v4.0.1/10.4.2
**Categoria:** Identificazione > Registrazione
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::WAFv2::WebACL`
**AWS Config regola: [https://docs.aws.amazon.com/config/latest/developerguide/wafv2-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/wafv2-logging-enabled.html)**``
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se la registrazione è attivata per un elenco di controllo degli accessi Web AWS WAF V2 (Web ACL). Questo controllo ha esito negativo se la registrazione è disattivata per l'ACL Web.
**Nota**
Questo controllo non verifica se la registrazione AWS WAF Web ACL è abilitata per un account tramite Amazon Security Lake.
La registrazione mantiene l'affidabilità, la disponibilità e le prestazioni di. AWS WAF Inoltre, la registrazione è un requisito aziendale e di conformità in molte organizzazioni. Registrando il traffico analizzato dall'ACL Web, è possibile risolvere i problemi relativi al comportamento delle applicazioni.
### Correzione
*Per attivare la registrazione per un ACL AWS WAF Web, consulta [Managing logging for](https://docs.aws.amazon.com/waf/latest/developerguide/logging-management.html) a Web ACL nella Developer Guide.AWS WAF *
## Le regole [WAF.12] devono avere le metriche abilitate AWS WAF CloudWatch
**Requisiti correlati:** NIST.800-53.r5 AC-4 (26), (10), (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-7 (8), NIST.800-171.r2 3.14.6, NIST.800-171.r2 3.14.7
**Categoria:** Identificazione > Registrazione
**Gravità:** media
**Tipo di risorsa:** `AWS::WAFv2::RuleGroup`
**AWS Config regola: [https://docs.aws.amazon.com/config/latest/developerguide/wafv2-rulegroup-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/wafv2-rulegroup-logging-enabled.html)**``
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se una AWS WAF regola o un gruppo di regole ha le CloudWatch metriche Amazon abilitate. Il controllo fallisce se la regola o il gruppo di regole non ha le CloudWatch metriche abilitate.
La configurazione delle CloudWatch metriche su AWS WAF regole e gruppi di regole offre visibilità sul flusso di traffico. Puoi vedere quali regole ACL vengono attivate e quali richieste vengono accettate e bloccate. Questa visibilità può aiutarti a identificare attività dannose sulle risorse associate.
### Correzione
Per abilitare le CloudWatch metriche su un gruppo di AWS WAF regole, richiama l'[ UpdateRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_UpdateRuleGroup.html)API. [Per abilitare le CloudWatch metriche su una AWS WAF regola, richiama l'API ACL. UpdateWeb](https://docs.aws.amazon.com/waf/latest/APIReference/API_UpdateWebACL.html) Imposta il campo su. `CloudWatchMetricsEnabled` `true` Quando utilizzi la AWS WAF console per creare regole o gruppi di regole, le CloudWatch metriche vengono abilitate automaticamente.
# Controlli CSPM Security Hub per WorkSpaces
Questi AWS Security Hub CSPM controlli valutano il WorkSpaces servizio e le risorse Amazon.
Questi controlli potrebbero non essere disponibili tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi
**Categoria:** Proteggi > Protezione dei dati > Crittografia di data-at-rest
**Gravità:** media
**Tipo di risorsa:** `AWS::WorkSpaces::Workspace`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/workspaces-user-volume-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/workspaces-user-volume-encryption-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un volume utente in Amazon WorkSpaces WorkSpace è crittografato quando è inattivo. Il controllo fallisce se il volume WorkSpace utente non è crittografato a riposo.
I dati inattivi si riferiscono ai dati archiviati in uno spazio di archiviazione persistente e non volatile per qualsiasi durata. La crittografia dei dati inutilizzati consente di proteggerne la riservatezza, riducendo il rischio che un utente non autorizzato possa accedervi.
### Correzione
Per crittografare un volume WorkSpaces utente, [consulta Encrypt a WorkSpace](https://docs.aws.amazon.com/workspaces/latest/adminguide/encrypt-workspaces.html#encrypt_workspace) nella *Amazon WorkSpaces Administration Guide*.
## [WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi
**Categoria:** Proteggi > Protezione dei dati > Crittografia di data-at-rest
**Gravità:** media
**Tipo di risorsa:** `AWS::WorkSpaces::Workspace`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/workspaces-root-volume-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/workspaces-root-volume-encryption-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un volume root in Amazon WorkSpaces WorkSpace è crittografato a riposo. Il controllo fallisce se il volume WorkSpace root non è crittografato a riposo.
I dati inattivi si riferiscono ai dati archiviati in uno spazio di archiviazione persistente e non volatile per qualsiasi durata. La crittografia dei dati inutilizzati consente di proteggerne la riservatezza, riducendo il rischio che un utente non autorizzato possa accedervi.
### Correzione
Per crittografare un volume WorkSpaces root, [consulta Encrypt a WorkSpace](https://docs.aws.amazon.com/workspaces/latest/adminguide/encrypt-workspaces.html#encrypt_workspace) nella *Amazon WorkSpaces Administration Guide*.
# Autorizzazioni richieste per configurare i controlli in Security Hub CSPM
Per visualizzare informazioni sui controlli di sicurezza e abilitare e disabilitare i controlli di sicurezza negli standard, il ruolo AWS Identity and Access Management (IAM) utilizzato per accedere a AWS Security Hub CSPM richiede le autorizzazioni per chiamare le seguenti operazioni dell'API CSPM di Security Hub.
Per ottenere le autorizzazioni necessarie, puoi utilizzare le politiche gestite da [Security Hub CSPM.](https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html) In alternativa, puoi aggiornare le policy IAM personalizzate per includere le autorizzazioni per queste azioni.
+ **[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html)**— Restituisce informazioni su una serie di controlli di sicurezza per l'account corrente e Regione AWS.
+ **[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)**— Restituisce informazioni sui controlli di sicurezza che si applicano a uno standard specifico.
+ **[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html)**— Indica se un controllo di sicurezza è attualmente abilitato o disabilitato in ogni standard abilitato nell'account.
+ **[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetStandardsControlAssociations.html)**— Per un batch di controlli di sicurezza, indica se ogni controllo è attualmente abilitato o disabilitato in base a uno standard specifico.
+ **[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html)**— Utilizzato per abilitare un controllo di sicurezza negli standard che includono il controllo o per disabilitare un controllo negli standard. Si tratta di un sostituto in batch dell'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html)operazione esistente.
+ **[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html)**— Utilizzato per abilitare o disabilitare un batch di controlli di sicurezza negli standard che includono i controlli. Si tratta di un sostituto in batch dell'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html)operazione esistente.
+ **[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html)**— Utilizzato per abilitare o disabilitare un singolo controllo di sicurezza negli standard che includono il controllo
+ **[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DescribeStandardsControls.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DescribeStandardsControls.html)**— Restituisce dettagli sui controlli di sicurezza specifici.
Oltre a quanto sopra APIs, è necessario aggiungere l'autorizzazione alla chiamata `BatchGetControlEvaluations` al proprio ruolo IAM. Questa autorizzazione è necessaria per visualizzare lo stato di attivazione e conformità di un controllo, i risultati contano per un controllo e il punteggio di sicurezza complessivo per i controlli sulla console CSPM di Security Hub. Poiché solo le chiamate alla console`BatchGetControlEvaluations`, questa autorizzazione non corrisponde direttamente al CSPM APIs o ai comandi di Security Hub documentati pubblicamente. AWS CLI
# Abilitazione dei controlli in Security Hub CSPM
In AWS Security Hub CSPM, un controllo è una protezione all'interno di uno standard di sicurezza che aiuta un'organizzazione a proteggere la riservatezza, l'integrità e la disponibilità delle proprie informazioni. Ogni controllo CSPM di Security Hub è correlato a una risorsa specifica AWS . Quando abiliti un controllo, Security Hub CSPM inizia a eseguire i controlli di sicurezza per il controllo e genera i relativi risultati. Security Hub CSPM considera anche tutti i controlli abilitati nel calcolo dei punteggi di sicurezza.
Puoi scegliere di abilitare un controllo su tutti gli standard di sicurezza a cui si applica. In alternativa, è possibile configurare lo stato di abilitazione in modo diverso a seconda degli standard. Consigliamo la prima opzione, in cui lo stato di attivazione di un controllo è allineato a tutti gli standard abilitati. Per istruzioni su come abilitare un controllo su tutti gli standard che lo applica, consulta. [Abilitare un controllo attraverso gli standard](enable-controls-overview.md) Per istruzioni su come abilitare un controllo in standard specifici, vedere[Abilitazione di un controllo in uno standard specifico](controls-configure.md).
Se abiliti l'aggregazione tra regioni e accedi a un'area di aggregazione, la console Security Hub CSPM mostra i controlli disponibili in almeno una regione collegata. Se un controllo è disponibile in una regione collegata ma non nella regione di aggregazione, non è possibile abilitare o disabilitare tale controllo dalla regione di aggregazione.
È possibile abilitare e disabilitare i controlli in ogni regione utilizzando la console CSPM di Security Hub, l'API CSPM di Security Hub o. AWS CLI
[Le istruzioni per abilitare e disabilitare i controlli variano a seconda che si utilizzi o meno la configurazione centrale.](central-configuration-intro.md) Questo argomento descrive le differenze. La configurazione centrale è disponibile per gli utenti che integrano Security Hub CSPM e. AWS Organizations Si consiglia di utilizzare la configurazione centrale per semplificare il processo di attivazione e disabilitazione dei controlli in ambienti con più account e più regioni. Se utilizzi la configurazione centrale, puoi abilitare il controllo su più account e regioni tramite l'uso di politiche di configurazione. Se non utilizzi la configurazione centrale, devi abilitare un controllo separatamente in ogni regione e account.
# Abilitare un controllo attraverso gli standard
Consigliamo di abilitare un controllo CSPM AWS Security Hub su tutti gli standard a cui si applica il controllo. Se attivi i risultati del controllo consolidato, riceverai un risultato per controllo anche se un controllo appartiene a più di uno standard.
## Abilitazione multistandard in ambienti con più account e più regioni
[Per abilitare un controllo di sicurezza su più Account AWS e Regioni AWS, è necessario accedere all'account amministratore CSPM di Security Hub delegato e utilizzare la configurazione centrale.](central-configuration-intro.md)
Nella configurazione centrale, l'amministratore delegato può creare politiche di configurazione CSPM di Security Hub che abilitano controlli specifici attraverso gli standard abilitati. È quindi possibile associare la politica di configurazione a account e unità organizzative specifici (OUs) o alla radice. Una politica di configurazione ha effetto nella regione di origine (chiamata anche regione di aggregazione) e in tutte le regioni collegate.
Le politiche di configurazione offrono la personalizzazione. Ad esempio, puoi scegliere di abilitare tutti i controlli in un'unità organizzativa e puoi scegliere di abilitare solo i controlli Amazon Elastic Compute Cloud (EC2) in un'altra unità organizzativa. Il livello di granularità dipende dagli obiettivi prefissati per la copertura di sicurezza nell'organizzazione. Per istruzioni sulla creazione di una politica di configurazione che abiliti controlli specifici tra gli standard, vedi. [Creazione e associazione di policy di configurazione](create-associate-policy.md)
**Nota**
L'amministratore delegato può creare politiche di configurazione per gestire i controlli in tutti gli standard tranne il [Service-Managed](https://docs.aws.amazon.com/securityhub/latest/userguide/service-managed-standard-aws-control-tower.html) Standard:. AWS Control Tower I controlli per questo standard devono essere configurati nel servizio. AWS Control Tower
Se desideri che alcuni account configurino i propri controlli anziché l'amministratore delegato, l'amministratore delegato può designare tali account come autogestiti. Gli account autogestiti devono configurare i controlli separatamente in ciascuna regione.
## Abilitazione multistandard in un unico account e regione
Se non utilizzi la configurazione centrale o sei un account autogestito, non puoi utilizzare i criteri di configurazione per abilitare centralmente i controlli in più account e regioni. Tuttavia, puoi utilizzare i seguenti passaggi per abilitare un controllo in un singolo account e regione.
------
#### [ Security Hub CSPM console ]
**Per abilitare un controllo su più standard in un account e in un'unica regione**
1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Scegli **Controlli** dal pannello di navigazione.
1. Scegli la scheda **Disabilitato**.
1. Scegli l'opzione accanto a un controllo.
1. Scegli **Abilita controllo** (questa opzione non viene visualizzata per un controllo già abilitato).
1. Ripeti l'operazione in ogni regione in cui desideri abilitare il controllo.
------
#### [ Security Hub CSPM API ]
**Per abilitare il controllo su più standard in un account e in un'unica regione**
1. Invoca l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html)API. Fornisci un ID di controllo di sicurezza.
**Richiesta di esempio:**
```
{
"SecurityControlId": "IAM.1"
}
```
1. Richiama l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html)API. Fornisci l'Amazon Resource Name (ARN) di tutti gli standard in cui il controllo non è abilitato. Per ottenere lo standard ARNs, [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html)esegui.
1. Imposta il `AssociationStatus` parametro uguale a`ENABLED`. Se segui questi passaggi per un controllo già abilitato, l'API restituisce una risposta con codice di stato HTTP 200.
**Richiesta di esempio:**
```
{
"StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}, {"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "ENABLED"}]
}
```
1. Ripetere l'operazione in ogni regione in cui si desidera abilitare il controllo.
------
#### [ AWS CLI ]
**Per abilitare il controllo su più standard in un account e in un'unica regione**
1. Esegui il comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html). Fornisci un ID di controllo di sicurezza.
```
aws securityhub --region us-east-1 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html) --security-control-id CloudTrail.1
```
1. Esegui il comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html). Fornisci l'Amazon Resource Name (ARN) di tutti gli standard in cui il controllo non è abilitato. Per ottenere lo standard ARNs, esegui il `describe-standards` comando.
1. Imposta il `AssociationStatus` parametro uguale a`ENABLED`. Se segui questi passaggi per un controllo già abilitato, il comando restituisce una risposta con il codice di stato HTTP 200.
```
aws securityhub --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "ENABLED"}]'
```
1. Ripeti l'operazione in ogni regione in cui desideri abilitare il controllo.
------
# Abilitazione di un controllo in uno standard specifico
Quando abiliti uno standard in AWS Security Hub CSPM, tutti i controlli ad esso applicabili vengono abilitati automaticamente in quello standard (ad eccezione degli standard gestiti dai servizi). È quindi possibile disabilitare e riattivare controlli specifici nello standard. Tuttavia, consigliamo di allineare lo stato di attivazione di un controllo a tutti gli standard abilitati. Per istruzioni su come abilitare un controllo su tutti gli standard, consulta. [Abilitare un controllo attraverso gli standard](enable-controls-overview.md)
La pagina dei dettagli di uno standard contiene l'elenco dei controlli applicabili allo standard e informazioni sui controlli attualmente abilitati e disabilitati in quello standard.
Nella pagina dei dettagli degli standard, puoi anche abilitare i controlli in standard specifici. È necessario abilitare i controlli in standard specifici separatamente in ogni Account AWS e Regione AWS. Quando si abilita un controllo in standard specifici, ciò influisce solo sull'account corrente e sulla regione.
Per abilitare un controllo in uno standard, è necessario innanzitutto abilitare almeno uno standard a cui si applica il controllo. Per istruzioni sull'attivazione di uno standard, vedere[Abilitazione di uno standard di sicurezza](enable-standards.md). Quando abiliti un controllo in uno o più standard, Security Hub CSPM inizia a generare risultati per quel controllo. Security Hub CSPM include lo [stato del controllo](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-overall-status.html#controls-overall-status-values) nel calcolo del punteggio di sicurezza complessivo e dei punteggi di sicurezza standard. Anche se abiliti un controllo in più standard, se attivi i risultati del controllo consolidato, riceverai un unico risultato per ogni controllo di sicurezza tra gli standard. Per ulteriori informazioni, consulta [Risultati dei controlli consolidati](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-findings-create-update.html#consolidated-control-findings).
Per abilitare un controllo in uno standard, il controllo deve essere disponibile nella tua regione attuale. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-regions.html#securityhub-regions-control-support).
Segui questi passaggi per abilitare un controllo CSPM Security Hub in uno standard *specifico*. Al posto dei seguenti passaggi, puoi anche utilizzare l'azione [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html)API per abilitare i controlli in uno standard specifico. Per istruzioni sull'attivazione di un controllo in *tutti* gli standard, vedere[Abilitazione multistandard in un unico account e regione](enable-controls-overview.md#enable-controls-all-standards).
------
#### [ Security Hub CSPM console ]
**Per abilitare un controllo in uno standard specifico**
1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Scegli **Standard di sicurezza** dal pannello di navigazione.
1. Scegli **Visualizza risultati** per lo standard pertinente.
1. Seleziona un controllo.
1. Scegli **Abilita controllo** (questa opzione non viene visualizzata per un controllo già abilitato). Conferma scegliendo **Abilita**.
------
#### [ Security Hub CSPM API ]
**Per abilitare un controllo in uno standard specifico**
1. Esegui `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)` e fornisci un ARN standard per ottenere un elenco di controlli disponibili per uno standard specifico. Per ottenere un ARN standard, esegui. [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html) Questa API restituisce un controllo di sicurezza indipendente dallo standard, non un controllo IDs specifico dello standard. IDs
**Richiesta di esempio:**
```
{
"StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0"
}
```
1. Esegui `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html)` e fornisci un ID di controllo specifico per restituire lo stato di abilitazione corrente di un controllo in ogni standard.
**Richiesta di esempio:**
```
{
"SecurityControlId": "IAM.1"
}
```
1. Esegui `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html)`. Fornisci l'ARN dello standard in cui desideri abilitare il controllo.
1. Imposta il `AssociationStatus` parametro uguale a. `ENABLED`
**Richiesta di esempio:**
```
{
"StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}]
}
```
------
#### [ AWS CLI ]
**Per abilitare un controllo in uno standard specifico**
1. Esegui il `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html)` comando e fornisci un ARN standard per ottenere un elenco di controlli disponibili per uno standard specifico. Per ottenere un ARN standard, esegui. `describe-standards` Questo comando restituisce un controllo di sicurezza indipendente dallo standard, non un controllo IDs specifico dello standard. IDs
```
aws securityhub --region us-east-1 list-security-control-definitions --standards-arn "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"
```
1. Esegui il `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html)` comando e fornisci un ID di controllo specifico per restituire lo stato di abilitazione corrente di un controllo in ogni standard.
```
aws securityhub --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1
```
1. Esegui il comando `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html)`. Fornisci l'ARN dello standard in cui desideri abilitare il controllo.
1. Imposta il `AssociationStatus` parametro uguale a. `ENABLED`
```
aws securityhub --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "ENABLED"}]'
```
------
# Abilitazione automatica di nuovi controlli negli standard abilitati
AWS Security Hub CSPM rilascia regolarmente nuovi controlli e li aggiunge a uno o più standard. Puoi scegliere se abilitare automaticamente i nuovi controlli negli standard abilitati.
Si consiglia di utilizzare la configurazione centrale CSPM di Security Hub per abilitare automaticamente nuovi controlli di sicurezza. È possibile creare policy di configurazione che includono un elenco di controlli da disabilitare in tutti gli standard. Tutti gli altri controlli, compresi quelli appena rilasciati, sono abilitati per impostazione predefinita. In alternativa, è possibile creare policy che includono un elenco di controlli da abilitare in tutti gli standard. Tutti gli altri controlli, compresi quelli appena rilasciati, sono disabilitati per impostazione predefinita. Per ulteriori informazioni, consulta [Comprendere la configurazione centrale in Security Hub CSPM](central-configuration-intro.md).
Security Hub CSPM non abilita nuovi controlli quando vengono aggiunti a uno standard che non hai abilitato.
Le seguenti istruzioni si applicano solo se non si utilizza la configurazione centrale.
Scegli il metodo di accesso preferito e segui i passaggi per abilitare automaticamente i nuovi controlli negli standard abilitati.
**Nota**
Quando abiliti automaticamente i nuovi controlli utilizzando le seguenti istruzioni, puoi interagire con i controlli nella console e in modo programmatico subito dopo il rilascio. **Tuttavia, lo stato predefinito temporaneo dei controlli abilitati automaticamente è Disabilitato.** Security Hub CSPM può impiegare fino a diversi giorni per elaborare la versione di controllo e designare il controllo come **Attivato** nel tuo account. Durante il periodo di elaborazione, è possibile abilitare o disabilitare manualmente un controllo e Security Hub CSPM manterrà tale designazione indipendentemente dal fatto che sia attivata l'abilitazione automatica del controllo.
------
#### [ Security Hub CSPM console ]
**Per abilitare automaticamente i nuovi controlli**
1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Nel riquadro di navigazione, scegli **Impostazioni**, quindi scegli la scheda **Generale**.
1. In **Controlli**, scegli **Modifica**.
1. Attiva l'**attivazione automatica dei nuovi controlli negli standard abilitati**.
1. Scegli **Save** (Salva).
------
#### [ Security Hub CSPM API ]
**Per abilitare automaticamente i nuovi controlli**
1. Esegui [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateSecurityHubConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateSecurityHubConfiguration.html).
1. Per abilitare automaticamente nuovi controlli per gli standard abilitati, imposta `AutoEnableControls` su`true`. Se non desideri abilitare automaticamente i nuovi controlli, imposta `AutoEnableControls` su false.
------
#### [ AWS CLI ]
**Per abilitare automaticamente i nuovi controlli**
1. Esegui il comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-security-hub-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-security-hub-configuration.html).
1. Per abilitare automaticamente nuovi controlli per gli standard abilitati, specificare`--auto-enable-controls`. Se non desideri abilitare automaticamente i nuovi controlli, specifica`--no-auto-enable-controls`.
```
aws securityhub update-security-hub-configuration --auto-enable-controls | --no-auto-enable-controls
```
**Comando di esempio**
```
aws securityhub update-security-hub-configuration --auto-enable-controls
```
------
Se non abiliti automaticamente i nuovi controlli, devi abilitarli manualmente. Per istruzioni, consulta [Abilitazione dei controlli in Security Hub CSPM](securityhub-standards-enable-disable-controls.md).
# Disabilitazione dei controlli in Security Hub CSPM
Per ridurre i disturbi rilevati, può essere utile disabilitare i controlli non pertinenti all'ambiente in uso. In AWS Security Hub CSPM, puoi disabilitare un controllo su tutti gli standard di sicurezza o solo per standard specifici.
Se si disabilita un controllo per tutti gli standard, si verifica quanto segue:
+ I controlli di sicurezza per il controllo non vengono più eseguiti.
+ Non vengono generati risultati aggiuntivi per il controllo.
+ I risultati esistenti non vengono più aggiornati per il controllo.
+ I risultati esistenti per il controllo vengono archiviati automaticamente, in genere entro 3-5 giorni con la massima diligenza possibile.
+ Security Hub CSPM rimuove tutte AWS Config le regole correlate che ha creato per il controllo.
Se disabiliti un controllo solo per standard specifici, Security Hub CSPM interrompe l'esecuzione dei controlli di sicurezza per il controllo solo per quegli standard. Ciò rimuove anche il controllo dai [calcoli del punteggio di sicurezza](standards-security-score.md) per ciascuno di questi standard. Se il controllo è abilitato in altri standard, Security Hub CSPM mantiene la AWS Config regola associata, se applicabile, e continua a eseguire i controlli di sicurezza per il controllo per gli altri standard. Security Hub CSPM include anche il controllo quando calcola il punteggio di sicurezza per ciascuno degli altri standard, il che influisce sul punteggio di sicurezza riepilogativo.
Se si disabilita uno standard, tutti i controlli che si applicano allo standard vengono disattivati automaticamente per quello standard. Tuttavia, i controlli potrebbero continuare a essere abilitati in altri standard. Quando disabiliti uno standard, Security Hub CSPM non tiene traccia dei controlli disabilitati per lo standard. Di conseguenza, se successivamente riattivi lo stesso standard, tutti i controlli ad esso applicabili vengono abilitati automaticamente. Per informazioni sulla disabilitazione di uno standard, vedere. [Disabilitazione di uno standard](disable-standards.md)
La disabilitazione di un controllo non è un'azione permanente. Supponiamo di disabilitare un controllo e quindi di abilitare uno standard che include il controllo. Il controllo viene quindi abilitato per quello standard. Quando abiliti uno standard in Security Hub CSPM, tutti i controlli che si applicano allo standard vengono abilitati automaticamente. Per informazioni sull'attivazione di uno standard, vedere. [Abilitazione di uno standard](enable-standards.md)
**Topics**
+ [Disattivazione di un controllo tra gli standard](disable-controls-across-standards.md)
+ [Disattivazione di un controllo in uno standard specifico](disable-controls-standard.md)
+ [Controlli consigliati da disabilitare](controls-to-disable.md)
# Disattivazione di un controllo tra gli standard
Ti consigliamo di disabilitare un controllo CSPM AWS di Security Hub tra gli standard per mantenere l'allineamento in tutta l'organizzazione. Se disabiliti un controllo solo in standard specifici, continuerai a ricevere i risultati relativi al controllo se è abilitato in altri standard.
## Disattivazione di più standard in più account e regioni
[Per disabilitare un controllo di sicurezza su più Account AWS e Regioni AWS, è necessario utilizzare la configurazione centrale.](central-configuration-intro.md)
Quando si utilizza la configurazione centrale, l'amministratore delegato può creare politiche di configurazione CSPM di Security Hub che disabilitano i controlli specifici tra gli standard abilitati. È quindi possibile associare la politica di configurazione a account specifici o alla directory OUs principale. Una politica di configurazione ha effetto nella regione di origine (chiamata anche regione di aggregazione) e in tutte le regioni collegate.
Le politiche di configurazione offrono la personalizzazione. Ad esempio, puoi scegliere di disabilitare tutti i AWS CloudTrail controlli in un'unità organizzativa e puoi scegliere di disabilitare tutti i controlli IAM in un'altra unità organizzativa. Il livello di granularità dipende dagli obiettivi prefissati per la copertura di sicurezza nell'organizzazione. Per istruzioni sulla creazione di una politica di configurazione che disabiliti controlli specifici tra gli standard, vedi. [Creazione e associazione di policy di configurazione](create-associate-policy.md)
**Nota**
L'amministratore delegato può creare politiche di configurazione per gestire i controlli in tutti gli standard tranne il [Service-Managed](https://docs.aws.amazon.com/securityhub/latest/userguide/service-managed-standard-aws-control-tower.html) Standard:. AWS Control Tower I controlli per questo standard devono essere configurati nel servizio. AWS Control Tower
Se desideri che alcuni account configurino i propri controlli anziché l'amministratore delegato, l'amministratore delegato può designare tali account come autogestiti. Gli account autogestiti devono configurare i controlli separatamente in ciascuna regione.
## Disattivazione di più standard in un unico account e regione
Se non utilizzi la configurazione centrale o sei un account autogestito, non puoi utilizzare i criteri di configurazione per disabilitare centralmente i controlli in più account e regioni. Tuttavia, puoi disabilitare un controllo in un unico account e in una sola regione.
------
#### [ Security Hub CSPM console ]
**Per disabilitare un controllo tra più standard in un account e in una regione**
1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Scegli **Controlli** dal pannello di navigazione.
1. Scegli l'opzione accanto a un controllo.
1. Scegli **Disabilita controllo**. Questa opzione non viene visualizzata per un controllo già disabilitato.
1. Seleziona un motivo per disabilitare il controllo e conferma scegliendo **Disabilita**.
1. Ripeti l'operazione in ogni regione in cui desideri disattivare il controllo.
------
#### [ Security Hub CSPM API ]
**Per disabilitare un controllo su più standard in un account e in una regione**
1. Invoca l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html)API. Fornisci un ID di controllo di sicurezza.
**Richiesta di esempio:**
```
{
"SecurityControlId": "IAM.1"
}
```
1. Richiama l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html)API. Fornisci l'ARN di tutti gli standard in cui è abilitato il controllo. Per ottenere lo standard ARNs, [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html)esegui.
1. Imposta il `AssociationStatus` parametro uguale a`DISABLED`. Se segui questi passaggi per un controllo già disabilitato, l'API restituisce una risposta con codice di stato HTTP 200.
**Richiesta di esempio:**
```
{
"StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}, {"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}}]
}
```
1. Ripetere l'operazione in ogni regione in cui si desidera disattivare il controllo.
------
#### [ AWS CLI ]
**Per disabilitare un controllo su più standard in un account e in una regione**
1. Esegui il comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html). Fornisci un ID di controllo di sicurezza.
```
aws securityhub --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1
```
1. Esegui il comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html). Fornisci l'ARN di tutti gli standard in cui è abilitato il controllo. Per ottenere lo standard ARNs, esegui il `describe-standards` comando.
1. Imposta il `AssociationStatus` parametro uguale a`DISABLED`. Se segui questi passaggi per un controllo già disabilitato, il comando restituisce una risposta con il codice di stato HTTP 200.
```
aws securityhub --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]'
```
1. Ripeti l'operazione in ogni regione in cui desideri disattivare il controllo.
------
# Disattivazione di un controllo in uno standard specifico
È possibile disabilitare un controllo solo in standard di sicurezza specifici, anziché in tutti gli standard. Se il controllo si applica ad altri standard abilitati, AWS Security Hub CSPM continua a eseguire i controlli di sicurezza per il controllo e tu continui a ricevere i risultati per il controllo.
Consigliamo di allineare lo stato di abilitazione di un controllo a tutti gli standard abilitati a cui si applica il controllo. Per informazioni sulla disabilitazione di un controllo per tutti gli standard a cui si applica, consulta. [Disattivazione di un controllo tra gli standard](disable-controls-across-standards.md)
Nella pagina dei dettagli degli standard, puoi anche disabilitare i controlli di standard specifici. È necessario disabilitare i controlli in standard specifici separatamente in ogni Account AWS e Regione AWS. Quando si disabilita un controllo in standard specifici, ciò influisce solo sull'account corrente e sulla regione.
Scegli il tuo metodo preferito e segui questi passaggi per disabilitare un controllo in uno o più standard specifici.
------
#### [ Security Hub CSPM console ]
**Per disabilitare un controllo in uno standard specifico**
1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Scegli **Standard di sicurezza** dal pannello di navigazione. Scegli **Visualizza risultati** per lo standard pertinente.
1. Seleziona un controllo.
1. Scegli **Disabilita controllo**. Questa opzione non viene visualizzata per un controllo già disabilitato.
1. Fornisci un motivo per disabilitare il controllo e conferma scegliendo **Disabilita**.
------
#### [ Security Hub CSPM API ]
**Per disabilitare un controllo in uno standard specifico**
1. Esegui `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)` e fornisci un ARN standard per ottenere un elenco di controlli disponibili per uno standard specifico. Per ottenere un ARN standard, esegui. [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html) Questa API restituisce un controllo di sicurezza indipendente dallo standard, non un controllo IDs specifico dello standard. IDs
**Richiesta di esempio:**
```
{
"StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0"
}
```
1. Esegui `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html)` e fornisci un ID di controllo specifico per restituire lo stato di abilitazione corrente di un controllo in ogni standard.
**Richiesta di esempio:**
```
{
"SecurityControlId": "IAM.1"
}
```
1. Esegui `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html)`. Fornisci l'ARN dello standard in cui desideri disabilitare il controllo.
1. Imposta il `AssociationStatus` parametro uguale a. `DISABLED` Se segui questi passaggi per un controllo già disabilitato, l'API restituisce una risposta con codice di stato HTTP 200.
**Richiesta di esempio:**
```
{
"StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]
}
```
------
#### [ AWS CLI ]
**Per disabilitare un controllo in uno standard specifico**
1. Esegui il `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html)` comando e fornisci un ARN standard per ottenere un elenco di controlli disponibili per uno standard specifico. Per ottenere un ARN standard, esegui. `describe-standards` Questo comando restituisce un controllo di sicurezza indipendente dallo standard, non un controllo IDs specifico dello standard. IDs
```
aws securityhub --region us-east-1 list-security-control-definitions --standards-arn "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"
```
1. Esegui il `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html)` comando e fornisci un ID di controllo specifico per restituire lo stato di abilitazione corrente di un controllo in ogni standard.
```
aws securityhub --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1
```
1. Esegui il comando `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html)`. Fornisci l'ARN dello standard in cui desideri disabilitare il controllo.
1. Imposta il `AssociationStatus` parametro uguale a. `DISABLED` Se segui questi passaggi per un controllo già abilitato, il comando restituisce una risposta con il codice di stato HTTP 200.
```
aws securityhub --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]'
```
------
# Controlli consigliati da disabilitare in Security Hub CSPM
Ti consigliamo di disabilitare alcuni controlli CSPM AWS di Security Hub per ridurre il rumore di ricerca e i costi di utilizzo.
## Controlli che utilizzano risorse globali
Alcuni Servizi AWS supportano risorse globali, il che significa che puoi accedere alla risorsa da qualsiasi Regione AWS. Per risparmiare sui costi di AWS Config, puoi disabilitare la registrazione delle risorse globali in tutte le regioni tranne una. Dopo aver eseguito questa operazione, tuttavia, Security Hub CSPM continua a eseguire i controlli di sicurezza in tutte le regioni in cui è abilitato un controllo e ti addebita in base al numero di controlli per account per regione. Di conseguenza, per ridurre i rumori di ricerca e risparmiare sui costi di Security Hub CSPM, è necessario disabilitare anche i controlli che coinvolgono risorse globali in tutte le regioni ad eccezione della regione che registra le risorse globali.
Se un controllo coinvolge risorse globali ma è disponibile in una sola regione, disabilitarlo in quella regione impedisce di ottenere risultati sulla risorsa sottostante. In questo caso, consigliamo di mantenere il controllo abilitato. Quando si utilizza l'aggregazione tra regioni, la regione in cui è disponibile il controllo deve essere la regione di aggregazione o una delle regioni collegate. I seguenti controlli coinvolgono risorse globali ma sono disponibili solo in una singola regione:
+ **Tutti i CloudFront controlli**: disponibili solo nella regione Stati Uniti orientali (Virginia settentrionale)
+ **GlobalAccelerator.1** — Disponibile solo nella regione Stati Uniti occidentali (Oregon)
+ **Route53.2** — Disponibile solo nella regione Stati Uniti orientali (Virginia settentrionale)
+ **WAF.1, WAF.6, WAF.7, WAF.8 — Disponibile solo nella regione Stati Uniti orientali (Virginia settentrionale**)
**Nota**
Se si utilizza la configurazione centrale, Security Hub CSPM disattiva automaticamente i controlli che coinvolgono risorse globali in tutte le regioni tranne la regione di origine. Gli altri controlli che scegli di abilitare tramite una politica di configurazione sono abilitati in tutte le regioni in cui sono disponibili. Per limitare i risultati di questi controlli a una sola regione, puoi aggiornare le impostazioni del AWS Config registratore e disattivare la registrazione globale delle risorse in tutte le regioni tranne la regione d'origine.
Se un controllo abilitato che coinvolge risorse globali non è supportato nella regione di origine, Security Hub CSPM tenta di abilitare il controllo in una regione collegata in cui il controllo è supportato. Con la configurazione centralizzata, ti manca la copertura per un controllo che non è disponibile nella regione d'origine o in nessuna delle regioni collegate.
Per ulteriori informazioni sulla configurazione centrale, consulta[Comprendere la configurazione centrale in Security Hub CSPM](central-configuration-intro.md).
Per i controlli che hanno un tipo di pianificazione *periodica*, è necessario disabilitarli in Security Hub CSPM per impedire la fatturazione. L'impostazione del AWS Config parametro `includeGlobalResourceTypes` su `false` non influisce sui controlli periodici CSPM di Security Hub.
I seguenti controlli CSPM di Security Hub utilizzano risorse globali:
+ [[Account.1] Le informazioni di contatto di sicurezza devono essere fornite per un Account AWS](account-controls.md#account-1)
+ [[Account.2] Account AWS deve far parte di un'organizzazione AWS Organizations](account-controls.md#account-2)
+ [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.15] CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine per le origini degli URL della funzione Lambda](cloudfront-controls.md#cloudfront-16)
+ [[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati](globalaccelerator-controls.md#globalaccelerator-1)
+ [[IAM.1] Le politiche IAM non dovrebbero consentire privilegi amministrativi «\$1» completi](iam-controls.md#iam-1)
+ [[IAM.2] Gli utenti IAM non devono avere policy IAM allegate](iam-controls.md#iam-2)
+ [[IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno](iam-controls.md#iam-3)
+ [[IAM.4] La chiave di accesso utente root IAM non dovrebbe esistere](iam-controls.md#iam-4)
+ [[IAM.5] MFA deve essere abilitata per tutti gli utenti IAM che dispongono di una password della console](iam-controls.md#iam-5)
+ [[IAM.6] L'autenticazione MFA per l'hardware deve essere abilitata per l'utente root](iam-controls.md#iam-6)
+ [[IAM.7] Le policy relative alle password per gli utenti IAM devono avere configurazioni solide](iam-controls.md#iam-7)
+ [[IAM.8] Le credenziali utente IAM non utilizzate devono essere rimosse](iam-controls.md#iam-8)
+ [[IAM.9] L'MFA deve essere abilitata per l'utente root](iam-controls.md#iam-9)
+ [[IAM.10] Le policy relative alle password per gli utenti IAM devono avere configurazioni solide](iam-controls.md#iam-10)
+ [[IAM.11] Assicurati che la politica delle password IAM richieda almeno una lettera maiuscola](iam-controls.md#iam-11)
+ [[IAM.12] Assicurati che la politica delle password IAM richieda almeno una lettera minuscola](iam-controls.md#iam-12)
+ [[IAM.13] Assicurati che la politica delle password IAM richieda almeno un simbolo](iam-controls.md#iam-13)
+ [[IAM.14] Assicurati che la politica delle password IAM richieda almeno un numero](iam-controls.md#iam-14)
+ [[IAM.15] Assicurati che la politica delle password di IAM richieda una lunghezza minima della password pari o superiore a 14](iam-controls.md#iam-15)
+ [[IAM.16] Assicurati che la politica delle password di IAM impedisca il riutilizzo delle password](iam-controls.md#iam-16)
+ [[IAM.17] Assicurati che la policy sulle password di IAM faccia scadere le password entro 90 giorni o meno](iam-controls.md#iam-17)
+ [[IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con Supporto AWS](iam-controls.md#iam-18)
+ [[IAM.19] L'MFA deve essere abilitata per tutti gli utenti IAM](iam-controls.md#iam-19)
+ [[IAM.21] Le policy gestite dai clienti IAM che create non dovrebbero consentire azioni jolly per i servizi](iam-controls.md#iam-21)
+ [[IAM.22] Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse](iam-controls.md#iam-22)
+ [[IAM.24] I ruoli IAM devono essere etichettati](iam-controls.md#iam-24)
+ [[IAM.25] Gli utenti IAM devono essere etichettati](iam-controls.md#iam-25)
+ [[IAM.26] I SSL/TLS certificati scaduti gestiti in IAM devono essere rimossi](iam-controls.md#iam-26)
+ [[IAM.27] Le identità IAM non devono avere la policy allegata AWSCloud ShellFullAccess](iam-controls.md#iam-27)
+ [[KMS.1] Le politiche gestite dai clienti di IAM non dovrebbero consentire azioni di decrittografia su tutte le chiavi KMS](kms-controls.md#kms-1)
+ [[KMS.2] I principali IAM non devono disporre di policy IAM in linea che consentano azioni di decrittografia su tutte le chiavi KMS](kms-controls.md#kms-2)
+ [[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2)
+ [[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1)
+ [[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6)
+ [[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7)
+ [[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8)
## CloudTrail controlli di registrazione
Il controllo [CloudTrail.2](cloudtrail-controls.md#cloudtrail-2) valuta l'uso di AWS Key Management Service (AWS KMS) per AWS CloudTrail crittografare i log delle tracce. Se si registrano questi percorsi in un account di registrazione centralizzato, è necessario abilitare questo controllo solo nell'account e Regione AWS dove avviene la registrazione centralizzata.
Se si utilizza la [configurazione centrale](central-configuration-intro.md), lo stato di attivazione di un controllo è allineato tra la regione di origine e le regioni collegate. Non è possibile disabilitare un controllo in alcune regioni e abilitarlo in altre. In questo caso, puoi sopprimere i risultati del controllo CloudTrail .2 per ridurre il rumore di ricerca.
## CloudWatch controlli di allarme
Se preferisci utilizzare Amazon GuardDuty per il rilevamento delle anomalie anziché gli CloudWatch allarmi Amazon, puoi disabilitare i seguenti controlli, che si concentrano sugli CloudWatch allarmi:
+ [[CloudWatch.1] Dovrebbero esistere un filtro logmetrico e un allarme per l'utilizzo da parte dell'utente «root»](cloudwatch-controls.md#cloudwatch-1)
+ [[CloudWatch.2] Assicurati che esistano un filtro metrico di log e un allarme per le chiamate API non autorizzate](cloudwatch-controls.md#cloudwatch-2)
+ [[CloudWatch.3] Assicurati che esistano un filtro metrico di registro e un allarme per l'accesso alla console di gestione senza MFA](cloudwatch-controls.md#cloudwatch-3)
+ [[CloudWatch.4] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche alle policy IAM](cloudwatch-controls.md#cloudwatch-4)
+ [[CloudWatch.5] Assicurati che esistano un filtro metrico di log e un allarme per le CloudTrail modifiche alla configurazione](cloudwatch-controls.md#cloudwatch-5)
+ [[CloudWatch.6] Assicurati che esistano un filtro metrico di registro e un allarme per gli Console di gestione AWS errori di autenticazione](cloudwatch-controls.md#cloudwatch-6)
+ [[CloudWatch.7] Assicurati che esistano un filtro metrico di registro e un allarme per la disabilitazione o l'eliminazione pianificata delle chiavi gestite dal cliente](cloudwatch-controls.md#cloudwatch-7)
+ [[CloudWatch.8] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche alle policy dei bucket S3](cloudwatch-controls.md#cloudwatch-8)
+ [[CloudWatch.9] Assicurati che esistano un filtro metrico di log e un allarme per le AWS Config modifiche alla configurazione](cloudwatch-controls.md#cloudwatch-9)
+ [[CloudWatch.10] Assicurati che esistano un filtro metrico di registro e un allarme per le modifiche ai gruppi di sicurezza](cloudwatch-controls.md#cloudwatch-10)
+ [[CloudWatch.11] Assicurati che esistano un filtro metrico di registro e un allarme per le modifiche alle liste di controllo degli accessi alla rete (NACL)](cloudwatch-controls.md#cloudwatch-11)
+ [[CloudWatch.12] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche ai gateway di rete](cloudwatch-controls.md#cloudwatch-12)
+ [[CloudWatch.13] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche alla tabella delle rotte](cloudwatch-controls.md#cloudwatch-13)
+ [[CloudWatch.14] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche al VPC](cloudwatch-controls.md#cloudwatch-14)
# Comprensione dei controlli e dei punteggi di sicurezza in Security Hub CSPM
Per ogni controllo abilitato, AWS Security Hub CSPM esegue controlli di sicurezza. Un controllo di sicurezza produce un risultato che indica se una AWS risorsa specifica è conforme alle regole incluse nel controllo.
Alcuni controlli vengono eseguiti secondo una pianificazione periodica. Altri controlli vengono eseguiti solo quando si modifica lo stato della risorsa. Per ulteriori informazioni, consulta [Pianificazione dell'esecuzione dei controlli di sicurezza](securityhub-standards-schedule.md).
Molti controlli di sicurezza utilizzano regole AWS Config gestite o personalizzate per stabilire i requisiti di conformità. Per eseguire questi controlli, è necessario configurare AWS Config e attivare la registrazione delle risorse per le risorse necessarie. Per ulteriori informazioni sulla configurazione AWS Config, vedere[Abilitazione e configurazione AWS Config per Security Hub CSPM](securityhub-setup-prereqs.md). Per un elenco delle AWS Config risorse che è necessario registrare per ogni standard, vedere[AWS Config Risorse necessarie per i risultati del controllo](controls-config-resources.md). Altri controlli utilizzano funzioni Lambda personalizzate, gestite da Security Hub CSPM e non richiedono alcun prerequisito.
Poiché Security Hub CSPM esegue i controlli di sicurezza, genera i risultati e assegna loro uno stato di conformità. Per ulteriori informazioni sullo stato di conformità, vedere. [Valutazione dello stato di conformità dei risultati del Security Hub CSPM](controls-overall-status.md#controls-overall-status-compliance-status)
Security Hub CSPM utilizza lo stato di conformità dei risultati del controllo per determinare lo stato di controllo generale. In base allo stato del controllo, Security Hub CSPM calcola anche un punteggio di sicurezza per tutti i controlli abilitati e per standard specifici. Per ulteriori informazioni, consultare [Valutazione dello stato di conformità e dello stato di controllo](controls-overall-status.md) e [Calcolo dei punteggi di sicurezza](standards-security-score.md).
Se hai attivato i risultati del controllo consolidato, Security Hub CSPM genera un singolo risultato anche quando un controllo è associato a più di uno standard. Per ulteriori informazioni, consulta [Risultati di controllo consolidati](controls-findings-create-update.md#consolidated-control-findings).
**Topics**
+ [AWS Config Risorse necessarie per i risultati del controllo](controls-config-resources.md)
+ [Pianificazione dell'esecuzione dei controlli di sicurezza](securityhub-standards-schedule.md)
+ [Generazione e aggiornamento dei risultati di controllo](controls-findings-create-update.md)
+ [Valutazione dello stato di conformità e dello stato di controllo](controls-overall-status.md)
+ [Calcolo dei punteggi di sicurezza](standards-security-score.md)
# AWS Config Risorse necessarie per i risultati del controllo
In AWS Security Hub CSPM, alcuni controlli utilizzano AWS Config regole collegate ai servizi che rilevano le modifiche alla configurazione nelle risorse. AWS Affinché Security Hub CSPM generi risultati accurati per questi controlli, è necessario abilitare AWS Config e attivare la registrazione delle risorse. AWS Config Per informazioni su come Security Hub CSPM utilizza AWS Config le regole e su come abilitarle e configurarle AWS Config, vedere. [Abilitazione e configurazione AWS Config per Security Hub CSPM](securityhub-setup-prereqs.md) *Per informazioni dettagliate sulla registrazione delle risorse, consulta [Lavorare con il registratore di configurazione](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html) nella Guida per gli AWS Config sviluppatori.*
Per ricevere risultati di controllo accurati, è necessario attivare la registrazione AWS Config delle risorse per i controlli abilitati con un tipo di pianificazione *innescato dalla modifica*. Alcuni controlli con un tipo di pianificazione *periodica* richiedono anche la registrazione delle risorse. Questa pagina elenca le risorse necessarie per questi controlli CSPM di Security Hub.
I controlli CSPM di Security Hub possono basarsi su AWS Config regole gestite o regole CSPM Security Hub personalizzate. Assicurati che non esistano policy AWS Identity and Access Management (IAM) o policy AWS Organizations gestite che AWS Config impediscano di avere l'autorizzazione a registrare le tue risorse. I controlli CSPM di Security Hub valutano direttamente le configurazioni delle risorse e non tengono conto delle AWS Organizations politiche.
**Nota**
Regioni AWS Se un controllo non è disponibile, la risorsa corrispondente non è disponibile in. AWS Config Per un elenco di questi limiti, consulta[Limiti regionali sui controlli CSPM di Security Hub](regions-controls.md).
**Topics**
+ [Risorse necessarie per tutti i controlli CSPM di Security Hub](#all-controls-config-resources)
+ [Risorse necessarie per lo standard AWS Foundational Security Best Practices](#securityhub-standards-fsbp-config-resources)
+ [Risorse necessarie per il benchmark CIS AWS Foundations](#securityhub-standards-cis-config-resources)
+ [Risorse necessarie per lo standard NIST SP 800-53 Revisione 5](#nist-config-resources)
+ [Risorse necessarie per lo standard NIST SP 800-171 Revision 2](#nist-800-171-config-resources)
+ [Risorse richieste per PCI DSS v3.2.1](#securityhub-standards-pci-config-resources)
+ [Risorse richieste per lo standard AWS Resource Tagging](#tagging-config-resources)
## Risorse necessarie per tutti i controlli CSPM di Security Hub
Affinché Security Hub CSPM generi risultati per i controlli attivati dalle modifiche che sono abilitati e utilizzano una AWS Config regola, è necessario registrare i seguenti tipi di risorse in. AWS Config Questa tabella indica anche quali controlli valutano un particolare tipo di risorsa. Un singolo controllo può valutare più di un tipo di risorsa.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/controls-config-resources.html)
## Risorse necessarie per lo standard AWS Foundational Security Best Practices
Affinché Security Hub CSPM riporti in modo accurato i risultati relativi ai controlli attivati dalle modifiche che si applicano allo standard AWS Foundational Security Best Practices (v.1.0.0), sono abilitati e utilizzano una AWS Config regola, è necessario registrare i seguenti tipi di risorse in. AWS Config Per informazioni su questo standard, vedere. [AWS Standard di best practice di sicurezza di base in Security Hub CSPM](fsbp-standard.md)
| Servizio AWS | Tipi di risorse |
| --- | --- |
| Gateway Amazon API | `AWS::ApiGateway::Stage`, `AWS::ApiGatewayV2::Stage` |
| AWS AppSync | `AWS::AppSync::ApiCache`, `AWS::AppSync::GraphQLApi` |
| AWS Backup | `AWS::Backup::RecoveryPoint` |
| AWS Certificate Manager (ACM) | `AWS::ACM::Certificate` |
| AWS CloudFormation | `AWS::CloudFormation::Stack` |
| Amazon CloudFront | `AWS::CloudFront::Distribution` |
| AWS CodeBuild | `AWS::CodeBuild::Project`, `AWS::CodeBuild::ReportGroup` |
| Amazon Cognito | `AWS::Cognito::IdentityPool`, `AWS::Cognito::UserPool` |
| Amazon Connect | `AWS::Connect::Instance` |
| AWS DataSync | `AWS::DataSync::Task` |
| AWS Database Migration Service (AWS DMS) | `AWS::DMS::Endpoint`, `AWS::DMS::ReplicationInstance`, `AWS::DMS::ReplicationTask` |
| Amazon DynamoDB | `AWS::DynamoDB::Table` |
| Amazon EC2 Systems Manager (SSM) | `AWS::SSM::AssociationCompliance`, `AWS::SSM::ManagedInstanceInventory`, `AWS::SSM::PatchCompliance` |
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::Instance`, `AWS::EC2::LaunchTemplate`, `AWS::EC2::NetworkAcl`, `AWS::EC2::NetworkInterface`, `AWS::EC2::SecurityGroup`, `AWS::EC2::SnapshotBlockPublicAccess`, `AWS::EC2::SpotFleet`, `AWS::EC2::Subnet`, `AWS::EC2::TransitGateway`, `AWS::EC2::VPCBlockPublicAccessOptions`, `AWS::EC2::VPNConnection`, `AWS::EC2::Volume` |
| Amazon EC2 Auto Scaling | `AWS::AutoScaling::AutoScalingGroup`, `AWS::AutoScaling::LaunchConfiguration` |
| Amazon Elastic Container Registry (Amazon ECR) | `AWS::ECR::Repository` |
| Amazon Elastic Container Service (Amazon ECS) | `AWS::ECS::CapacityProvider`, `AWS::ECS::Cluster`, `AWS::ECS::Service`, `AWS::ECS::TaskDefinition`, `AWS::ECS::TaskSet` |
| Amazon Elastic File System (Amazon EFS) | `AWS::EFS::AccessPoint`, `AWS::EFS::FileSystem` |
| Amazon Elastic Kubernetes Service (Amazon EKS) | `AWS::EKS::Cluster` |
| AWS Elastic Beanstalk | `AWS::ElasticBeanstalk::Environment` |
| Elastic Load Balancing | `AWS::ElasticLoadBalancing::LoadBalancer`, `AWS::ElasticLoadBalancingV2::Listener`, `AWS::ElasticLoadBalancingV2::LoadBalancer` |
| ElasticSearch | `AWS::Elasticsearch::Domain` |
| Amazon EMR | `AWS::EMR::SecurityConfiguration` |
| AWS Glue | `AWS::Glue::Job`, `AWS::Glue::MLTransform` |
| AWS Identity and Access Management (IAM) | `AWS::IAM::Group`, `AWS::IAM::Policy`, `AWS::IAM::Role`, `AWS::IAM::User` |
| Amazon Kinesis | `AWS::Kinesis::Stream` |
| AWS Key Management Service (AWS KMS) | `AWS::KMS::Key` |
| AWS Lambda | `AWS::Lambda::Function` |
| Amazon Managed Streaming for Apache Kafka (Amazon MSK) | `AWS::MSK::Cluster`, `AWS::KafkaConnect::Connector` |
| AWS Network Firewall | `AWS::NetworkFirewall::Firewall`, `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup` |
| OpenSearch Servizio Amazon | `AWS::OpenSearch::Domain` |
| Amazon Relational Database Service (Amazon RDS) | `AWS::RDS::DBCluster`, `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBProxy`, `AWS::RDS::DBSnapshot`, `AWS::RDS::EventSubscription` |
| Amazon Redshift | `AWS::Redshift::Cluster`, `AWS::Redshift::ClusterSubnetGroup` |
| Amazon Redshift Serverless | `AWS::RedshiftServerless::Workgroup` |
| Amazon Route 53 | `AWS::Route53::HostedZone` |
| Amazon Simple Storage Service (Amazon S3) | `AWS::S3::AccessPoint`, `AWS::S3::AccountPublicAccessBlock`, `AWS::S3::Bucket`, `AWS::S3::MultiRegionAccessPoint`, `AWS::S3Express::DirectoryBucket` |
| Amazon SageMaker AI | `AWS::SageMaker::Model`, `AWS::SageMaker::NotebookInstance` |
| Servizio di notifica semplice Amazon (Amazon Simple Notification Service (Amazon SNS)) | `AWS::SNS::Topic` |
| Amazon Simple Queue Service (Amazon SQS) | `AWS::SQS::Queue` |
| Gestione dei segreti AWS | `AWS::SecretsManager::Secret` |
| AWS Step Functions | `AWS::StepFunctions::StateMachine` |
| AWS Transfer Family | `AWS::Transfer::Connector` |
| AWS WAF | `AWS::WAF::Rule`, `AWS::WAF::RuleGroup`, `AWS::WAF::WebACL`, `AWS::WAFRegional::Rule`, `AWS::WAFRegional::RuleGroup`, `AWS::WAFRegional::WebACL`, `AWS::WAFv2::RuleGroup`, `AWS::WAFv2::WebACL` |
| Amazon WorkSpaces | `AWS::WorkSpaces::WorkSpace` |
## Risorse necessarie per il benchmark CIS AWS Foundations
Per eseguire controlli di sicurezza per i controlli abilitati che si applicano al benchmark Center for Internet Security (CIS) AWS Foundations, Security Hub CSPM esegue esattamente le fasi di controllo prescritte per i controlli o utilizza regole gestite specifiche. AWS Config Per informazioni su questo standard in Security Hub CSPM, vedere. [Benchmark CIS AWS Foundations nel Security Hub CSPM](cis-aws-foundations-benchmark.md)
### Risorse necessarie per CIS v5.0.0
Affinché Security Hub CSPM riporti in modo accurato i risultati dei controlli attivati da modifiche CIS v5.0.0 abilitati che utilizzano una AWS Config regola, è necessario registrare i seguenti tipi di risorse in. AWS Config
| Servizio AWS | Tipi di risorse |
| --- | --- |
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::Instance`, `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup`, `AWS::EC2::VPC` |
| Amazon Elastic File System (Amazon EFS) | `AWS::EFS::FileSystem` |
| AWS Identity and Access Management (IAM) | `AWS::IAM::Group`, `AWS::IAM::User`, `AWS::IAM::Role` |
| Amazon Relational Database Service (Amazon RDS) | `AWS::RDS::DBInstance`, `AWS::RDS::DBCluster` |
| Amazon Simple Storage Service (Amazon S3) | `AWS::S3::Bucket` |
### Risorse necessarie per CIS v3.0.0
Affinché Security Hub CSPM riporti in modo accurato i risultati dei controlli attivati da modifiche CIS v3.0.0 abilitati che utilizzano una AWS Config regola, è necessario registrare i seguenti tipi di risorse in. AWS Config
| Servizio AWS | Tipi di risorse |
| --- | --- |
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::Instance`, `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup`, `AWS::EC2::VPC` |
| AWS Identity and Access Management (IAM) | `AWS::IAM::Group`, `AWS::IAM::User`, `AWS::IAM::Role` |
| Amazon Relational Database Service (Amazon RDS) | `AWS::RDS::DBInstance` |
| Amazon Simple Storage Service (Amazon S3) | `AWS::S3::Bucket` |
### Risorse necessarie per CIS v1.4.0
Affinché Security Hub CSPM riporti in modo accurato i risultati dei controlli attivati da modifiche CIS v1.4.0 abilitati che utilizzano una AWS Config regola, è necessario registrare i seguenti tipi di risorse in. AWS Config
| Servizio AWS | Tipi di risorse |
| --- | --- |
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup` |
| AWS Identity and Access Management (IAM) | `AWS::IAM::Policy`, `AWS::IAM::User` |
| Amazon Relational Database Service (Amazon RDS) | `AWS::RDS::DBInstance` |
| Amazon Simple Storage Service (Amazon S3) | `AWS::S3::Bucket` |
### Risorse necessarie per CIS v1.2.0
Affinché Security Hub CSPM riporti in modo accurato i risultati dei controlli attivati da modifiche CIS v1.2.0 abilitati che utilizzano una AWS Config regola, è necessario registrare i seguenti tipi di risorse in. AWS Config
| Servizio AWS | Tipi di risorse |
| --- | --- |
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::SecurityGroup` |
| AWS Identity and Access Management (IAM) | `AWS::IAM::Policy`, `AWS::IAM::User` |
## Risorse necessarie per lo standard NIST SP 800-53 Revisione 5
Affinché Security Hub CSPM riporti con precisione i risultati relativi ai controlli attivati dalle modifiche che si applicano allo standard NIST SP 800-53 Revisione 5, sono abilitati e utilizzano una AWS Config regola, è necessario registrare i seguenti tipi di risorse in. AWS Config Per informazioni su questo standard, vedere. [NIST SP 800-53 Revisione 5 nel Security Hub CSPM](standards-reference-nist-800-53.md)
| Servizio AWS | Tipi di risorse |
| --- | --- |
| Gateway Amazon API | `AWS::ApiGateway::Stage`, `AWS::ApiGatewayV2::Stage` |
| AWS AppSync | `AWS::AppSync::GraphQLApi` |
| AWS Backup | `AWS::Backup::RecoveryPoint` |
| AWS Certificate Manager (ACM) | `AWS::ACM::Certificate` |
| AWS CloudFormation | `AWS::CloudFormation::Stack` |
| Amazon CloudFront | `AWS::CloudFront::Distribution` |
| Amazon CloudWatch | `AWS::CloudWatch::Alarm` |
| AWS CodeBuild | `AWS::CodeBuild::Project` |
| AWS Database Migration Service (AWS DMS) | `AWS::DMS::Endpoint`, `AWS::DMS::ReplicationInstance`, `AWS::DMS::ReplicationTask` |
| Amazon DynamoDB | `AWS::DynamoDB::Table` |
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::EIP`, `AWS::EC2::Instance`, `AWS::EC2::LaunchTemplate`, `AWS::EC2::NetworkAcl`, `AWS::EC2::NetworkInterface`, `AWS::EC2::SecurityGroup`, `AWS::EC2::Subnet`, `AWS::EC2::TransitGateway`, `AWS::EC2::VPNConnection`, `AWS::EC2::Volume` |
| Amazon EC2 Auto Scaling | `AWS::AutoScaling::AutoScalingGroup`, `AWS::AutoScaling::LaunchConfiguration` |
| Amazon Elastic Container Registry (Amazon ECR) | `AWS::ECR::Repository` |
| Amazon Elastic Container Service (Amazon ECS) | `AWS::ECS::Cluster`, `AWS::ECS::Service`, `AWS::ECS::TaskDefinition` |
| Amazon Elastic File System (Amazon EFS) | `AWS::EFS::AccessPoint` |
| Amazon Elastic Kubernetes Service (Amazon EKS) | `AWS::EKS::Cluster` |
| AWS Elastic Beanstalk | `AWS::ElasticBeanstalk::Environment` |
| Elastic Load Balancing | `AWS::ElasticLoadBalancing::LoadBalancer`, `AWS::ElasticLoadBalancingV2::Listener`, `AWS::ElasticLoadBalancingV2::LoadBalancer` |
| Amazon ElasticSearch | `AWS::Elasticsearch::Domain` |
| Amazon EMR | `AWS::EMR::SecurityConfiguration` |
| Amazon EventBridge | `AWS::Events::Endpoint`, `AWS::Events::EventBus` |
| AWS Glue | `AWS::Glue::Job` |
| AWS Identity and Access Management (IAM) | `AWS::IAM::Group`, `AWS::IAM::Policy`, `AWS::IAM::Role`, `AWS::IAM::User` |
| AWS Key Management Service (AWS KMS) | `AWS::KMS::Alias`, `AWS::KMS::Key` |
| Amazon Kinesis | `AWS::Kinesis::Stream` |
| AWS Lambda | `AWS::Lambda::Function` |
| Amazon Managed Streaming for Apache Kafka (Amazon MSK) | `AWS::MSK::Cluster` |
| Amazon MQ | `AWS::AmazonMQ::Broker` |
| AWS Network Firewall | `AWS::NetworkFirewall::Firewall`, `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup` |
| OpenSearch Servizio Amazon | `AWS::OpenSearch::Domain` |
| Amazon Relational Database Service (Amazon RDS) | `AWS::RDS::DBCluster`, `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBSnapshot`, `AWS::RDS::EventSubscription` |
| Amazon Redshift | `AWS::Redshift::Cluster`, `AWS::Redshift::ClusterSubnetGroup` |
| Amazon Route 53 | `AWS::Route53::HostedZone` |
| Amazon Simple Storage Service (Amazon S3) | `AWS::S3::AccessPoint`, `AWS::S3::AccountPublicAccessBlock`, `AWS::S3::Bucket` |
| AWS Service Catalog | `AWS::ServiceCatalog::Portfolio` |
| Servizio di notifica semplice Amazon (Amazon Simple Notification Service (Amazon SNS)) | `AWS::SNS::Topic` |
| Amazon Simple Queue Service (Amazon SQS) | `AWS::SQS::Queue` |
| Amazon EC2 Systems Manager (SSM) | `AWS::SSM::AssociationCompliance`, `AWS::SSM::ManagedInstanceInventory`, `AWS::SSM::PatchCompliance` |
| Amazon SageMaker AI | `AWS::SageMaker::NotebookInstance` |
| Gestione dei segreti AWS | `AWS::SecretsManager::Secret` |
| AWS Transfer Family | `AWS::Transfer::Connector` |
| AWS WAF | `AWS::WAF::Rule`, `AWS::WAF::RuleGroup`, `AWS::WAF::WebACL`, `AWS::WAFRegional::Rule`, `AWS::WAFRegional::RuleGroup`, `AWS::WAFRegional::WebACL`, `AWS::WAFv2::RuleGroup`, `AWS::WAFv2::WebACL` |
## Risorse necessarie per lo standard NIST SP 800-171 Revision 2
Affinché Security Hub CSPM riporti con precisione i risultati relativi ai controlli attivati dalle modifiche che si applicano allo standard NIST SP 800-171 Revisione 2, sono abilitati e utilizzano una AWS Config regola, è necessario registrare i seguenti tipi di risorse in. AWS Config Per informazioni su questo standard, vedere. [NIST SP 800-171 Revisione 2 nel Security Hub CSPM](standards-reference-nist-800-171.md)
| Servizio AWS | Tipi di risorse |
| --- | --- |
| AWS Certificate Manager(ACM) | `AWS::ACM::Certificate` |
| Gateway Amazon API | `AWS::ApiGateway::Stage` |
| Amazon CloudFront | `AWS::CloudFront::Distribution` |
| Amazon CloudWatch | `AWS::CloudWatch::Alarm` |
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup`, `AWS::EC2::VPC`, `AWS::EC2::VPNConnection` |
| Elastic Load Balancing | `AWS::ElasticLoadBalancing::LoadBalancer` |
| AWS Identity and Access Management(IAM) | `AWS::IAM::Policy`, `AWS::IAM::User` |
| AWS Key Management Service (AWS KMS) | `AWS::KMS::Alias`, `AWS::KMS::Key` |
| AWS Network Firewall | `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup` |
| Servizio Amazon Simple Storage (Amazon S3) | `AWS::S3::Bucket` |
| Servizio di notifica semplice di Amazon (Amazon SNS) | `AWS::SNS::Topic` |
| AWS Systems Manager(SSM) | `AWS::SSM::PatchCompliance` |
| AWS WAF | `AWS::WAFv2::RuleGroup` |
## Risorse richieste per PCI DSS v3.2.1
Affinché Security Hub CSPM riporti in modo accurato i risultati dei controlli che si applicano alla versione 3.2.1 del Payment Card Industry Data Security Standard (PCI DSS), sono abilitati e utilizzano una AWS Config regola, è necessario registrare i seguenti tipi di risorse in. AWS Config Per informazioni su questo standard, vedere. [PCI DSS nel Security Hub CSPM](pci-standard.md)
| Servizio AWS | Tipi di risorse |
| --- | --- |
| AWS CodeBuild | `AWS::CodeBuild::Project` |
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::EIP`, `AWS::EC2::Instance`, `AWS::EC2::SecurityGroup` |
| Amazon EC2 Auto Scaling | `AWS::AutoScaling::AutoScalingGroup` |
| AWS Identity and Access Management (IAM) | `AWS::IAM::Policy`, `AWS::IAM::User` |
| AWS Lambda | `AWS::Lambda::Function` |
| OpenSearch Servizio Amazon | `AWS::OpenSearch::Domain` |
| Amazon Relational Database Service (Amazon RDS) | `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBSnapshot` |
| Amazon Redshift | `AWS::Redshift::Cluster` |
| Amazon Simple Storage Service (Amazon S3) | `AWS::S3::AccountPublicAccessBlock`, `AWS::S3::Bucket` |
| Amazon EC2 Systems Manager (SSM) | `AWS::SSM::AssociationCompliance`, `AWS::SSM::ManagedInstanceInventory`, `AWS::SSM::PatchCompliance` |
## Risorse richieste per lo standard AWS Resource Tagging
Tutti i controlli che si applicano allo standard AWS Resource Tagging attivano una modifica e utilizzano una regola. AWS Config Affinché Security Hub CSPM riporti con precisione i risultati di questi controlli, è necessario registrare i seguenti tipi di risorse in. AWS Config Per informazioni su questo standard, vedere. [AWS Standard di etichettatura delle risorse in Security Hub CSPM](standards-tagging.md)
| Servizio AWS | Tipi di risorse |
| --- | --- |
| AWS Amplify | `AWS::Amplify::App`, `AWS::Amplify::Branch` |
| Amazon AppFlow | `AWS::AppFlow::Flow` |
| AWS App Runner | `AWS::AppRunner::Service`, `AWS::AppRunner::VpcConnector` |
| AWS AppConfig | `AWS::AppConfig::Application`, `AWS::AppConfig::ConfigurationProfile`, `AWS::AppConfig::Environment`, `AWS::AppConfig::ExtensionAssociation` |
| AWS AppSync | `AWS::AppSync::GraphQLApi` |
| Amazon Athena | `AWS::Athena::DataCatalog`, `AWS::Athena::WorkGroup` |
| AWS Backup | `AWS::Backup::BackupPlan`, `AWS::Backup::BackupVault`, `AWS::Backup::RecoveryPlan`, `AWS::Backup::ReportPlan` |
| AWS Batch | `AWS::Batch::ComputeEnvironment`, `AWS::Batch::JobQueue`, `AWS::Batch::SchedulingPolicy` |
| AWS Certificate Manager (ACM) | `AWS::ACM::Certificate` |
| AWS CloudFormation | `AWS::CloudFormation::Stack` |
| Amazon CloudFront | `AWS::CloudFront::Distribution` |
| AWS CloudTrail | `AWS::CloudTrail::Trail` |
| AWS CodeArtifact | `AWS::CodeArtifact::Repository` |
| Amazon CodeGuru | `AWS::CodeGuruProfiler::ProfilingGroup`, `AWS::CodeGuruReviewer::RepositoryAssociation` |
| Amazon Connect | `AWS::CustomerProfiles::ObjectType` |
| AWS Database Migration Service (AWS DMS) | `AWS::DMS::Certificate`, `AWS::DMS::EventSubscription` `AWS::DMS::ReplicationInstance`, `AWS::DMS::ReplicationSubnetGroup` |
| AWS DataSync | `AWS::DataSync::Task` |
| Amazon Detective | `AWS::Detective::Graph` |
| Amazon DynamoDB | `AWS::DynamoDB::Trail` |
| Amazon Elastic Compute Cloud (EC2) | `AWS::EC2::CustomerGateway`, `AWS::EC2::DHCPOptions`, `AWS::EC2::EIP`, `AWS::EC2::FlowLog`, `AWS::EC2::Instance`, `AWS::EC2::InternetGateway`, `AWS::EC2::LaunchTemplate`, `AWS::EC2::NatGateway`, `AWS::EC2::NetworkAcl`, `AWS::EC2::NetworkInterface`, `AWS::EC2::PrefixList`, `AWS::EC2::RouteTable`, `AWS::EC2::SecurityGroup`, `AWS::EC2::Subnet`, `AWS::EC2::TrafficMirrorFilter`, `AWS::EC2::TrafficMirrorSession`, `AWS::EC2::TrafficMirrorTarget`, `AWS::EC2::TransitGateway`, `AWS::EC2::TransitGatewayAttachment`, `AWS::EC2::TransitGatewayRouteTable`, `AWS::EC2::Volume`, `AWS::EC2::VPC`, `AWS::EC2::VPCEndpointService`, `AWS::EC2::VPCPeeringConnection`, `AWS::EC2::VPNGateway` |
| Amazon EC2 Auto Scaling | `AWS::AutoScaling::AutoScalingGroup` |
| Amazon Elastic Container Registry (Amazon ECR) | `AWS::ECR::PublicRepository` |
| Amazon Elastic Container Service (Amazon ECS) | `AWS::ECS::Cluster`, `AWS::ECS::Service`, `AWS::ECS::TaskDefinition` |
| Amazon Elastic File System (Amazon EFS) | `AWS::EFS::AccessPoint` |
| Amazon Elastic Kubernetes Service (Amazon EKS) | `AWS::EKS::Cluster`, `AWS::EKS::IdentityProviderConfig` |
| AWS Elastic Beanstalk | `AWS::ElasticBeanstalk::Environment` |
| ElasticSearch | `AWS::Elasticsearch::Domain` |
| Amazon EventBridge | `AWS::Events::EventBus` |
| Amazon Fraud Detector | `AWS::FraudDetector::EntityType`, `AWS::FraudDetector::Label` `AWS::FraudDetector::Outcome`, `AWS::FraudDetector::Variable` |
| AWS Global Accelerator | `AWS::GlobalAccelerator::Accelerator` |
| AWS Glue | `AWS::Glue::Job` |
| Amazon GuardDuty | `AWS::GuardDuty::Detector`, `AWS::GuardDuty::Filter`, `AWS::GuardDuty::IPSet` |
| AWS Identity and Access Management (IAM) | `AWS::IAM::Role`, `AWS::IAM::User` |
| AWS Identity and Access Management Access Analyzer (Analizzatore di accesso IAM) | `AWS::AccessAnalyzer::Analyzer` |
| AWS IoT | `AWS::IoT::Authorizer`, `AWS::IoT::Dimension`, `AWS::IoT::MitigationAction`, `AWS::IoT::Policy`, `AWS::IoT::RoleAlias`, `AWS::IoT::SecurityProfile` |
| AWS IoT Eventi | `AWS::IoTEvents::AlarmModel`, `AWS::IoTEvents::DetectorModel`, `AWS::IoTEvents::Input` |
| AWS IoT SiteWise | `AWS::IoTSiteWise::Dashboard`, `AWS::IoTSiteWise::Gateway`, `AWS::IoTSiteWise::Portal`, `AWS::IoTSiteWise::Project` |
| AWS IoT TwinMaker | `AWS::IoTTwinMaker::Entity`, `AWS::IoTTwinMaker::Scene`, `AWS::IoTTwinMaker::SyncJob`, `AWS::IoTTwinMaker::Workspace` |
| AWS IoT Wireless | `AWS::IoTWireless::FuotaTask`, `AWS::IoTWireless::MulticastGroup`, `AWS::IoTWireless::ServiceProfile` |
| Amazon Interactive Video Service (Amazon IVS) | `AWS::IVS::Channel`, `AWS::IVS::PlaybackKeyPair`, `AWS::IVS::RecordingConfiguration` |
| Amazon Keyspaces (per Apache Cassandra) | `AWS::Cassandra::Keyspace` |
| Amazon Kinesis | `AWS::Kinesis::Stream` |
| AWS Lambda | `AWS::Lambda::Function` |
| Amazon MQ | `AWS::AmazonMQ::Broker` |
| AWS Network Firewall | `AWS::NetworkFirewall::Firewall`, `AWS::NetworkFirewall::FirewallPolicy` |
| OpenSearch Servizio Amazon | `AWS::OpenSearch::Domain` |
| AWS Autorità di certificazione privata | `AWS::ACMPCA::CertificateAuthority` |
| Amazon Relational Database Service | `AWS::RDS::DBCluster`, `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBSecurityGroup`, `AWS::RDS::DBSnapshot`, `AWS::RDS::DBSubnetGroup` |
| Amazon Redshift | `AWS::Redshift::Cluster`, `AWS::Redshift::ClusterParameterGroup`, `AWS::Redshift::ClusterSnapshot`, `AWS::Redshift::ClusterSubnetGroup`, `AWS::Redshift::EventSubscription` |
| Amazon Route 53 | `AWS::Route53::HealthCheck` |
| Amazon SageMaker AI | `AWS::SageMaker::AppImageConfig`, `AWS::SageMaker::Image` |
| Gestione dei segreti AWS | `AWS::SecretsManager::Secret` |
| Amazon Simple Email Service (Amazon SES) | `AWS::SES::ConfigurationSet`, `AWS::SES::ContactList` |
| Servizio di notifica semplice Amazon (Amazon Simple Notification Service (Amazon SNS)) | `AWS::SNS::Topic` |
| Amazon Simple Queue Service (Amazon SQS) | `AWS::SQS::Queue` |
| AWS Step Functions | `AWS::StepFunctions::Activity` |
| AWS Systems Manager (SSM) | `AWS::SSM::Document` |
| AWS Transfer Family | `AWS::Transfer::Agreement`, `AWS::Transfer::Certificate`, `AWS::Transfer::Connector`, `AWS::Transfer::Profile`, `AWS::Transfer::Workflow` |
# Pianificazione dell'esecuzione dei controlli di sicurezza
Dopo aver abilitato uno standard di sicurezza, AWS Security Hub CSPM inizia a eseguire tutti i controlli entro due ore. La maggior parte dei controlli inizia entro 25 minuti. Security Hub CSPM esegue i controlli valutando la regola alla base di un controllo. **Fino a quando un controllo non completa la prima esecuzione dei controlli, lo stato è Nessun dato.**
Quando abiliti un nuovo standard, potrebbero essere necessarie fino a 24 ore prima che Security Hub CSPM generi risultati per i controlli che utilizzano la stessa regola sottostante AWS Config collegata ai servizi dei controlli abilitati di altri standard abilitati. Ad esempio, se abiliti il controllo [Lambda.1](lambda-controls.md#lambda-1) nello standard AWS Foundational Security Best Practices (FSBP), Security Hub CSPM crea la regola collegata al servizio e in genere genera i risultati in pochi minuti. Dopodiché, se abiliti il controllo Lambda.1 nel Payment Card Industry Data Security Standard (PCI DSS), potrebbero essere necessarie fino a 24 ore prima che Security Hub CSPM generi i risultati per il controllo perché utilizza la stessa regola collegata al servizio.
Dopo il controllo iniziale, la pianificazione per ogni controllo può essere periodica o può essere attivata a modifiche. Per un controllo basato su una AWS Config regola gestita, la descrizione del controllo include un collegamento alla descrizione della regola nella Guida per gli *AWS Config sviluppatori*. Tale descrizione specifica se la regola è soggetta a modifiche o è periodica.
## Controlli di sicurezza periodici
I controlli di sicurezza periodici vengono eseguiti automaticamente entro 12 o 24 ore dall'esecuzione più recente. Security Hub CSPM determina la periodicità e non è possibile modificarla. I controlli periodici riflettono una valutazione nel momento in cui viene eseguito il controllo.
Se si aggiorna lo stato del flusso di lavoro di un risultato di controllo periodico e quindi nel controllo successivo lo stato di conformità del risultato rimane lo stesso, lo stato del flusso di lavoro rimane modificato. Ad esempio, se non riesci a trovare il controllo [KMS.4](kms-controls.md#kms-4) (la *AWS KMS key rotazione deve essere abilitata*) e quindi correggi il risultato, Security Hub CSPM modifica lo stato del flusso di lavoro da a. `NEW` `RESOLVED` Se si disabilita la rotazione delle chiavi KMS prima del successivo controllo periodico, lo stato del flusso di lavoro del risultato rimane invariato. `RESOLVED`
I controlli che utilizzano le funzioni Lambda personalizzate di Security Hub CSPM sono periodici.
## Controlli di sicurezza attivati dalle modifiche
I controlli di sicurezza attivati dalle modifiche vengono eseguiti quando la risorsa associata cambia stato. AWS Config *consente di scegliere tra *la registrazione continua* delle modifiche allo stato delle risorse e la registrazione giornaliera.* Se si sceglie la registrazione giornaliera, AWS Config fornisce i dati di configurazione delle risorse alla fine di ogni periodo di 24 ore in caso di cambiamenti nello stato delle risorse. Se non ci sono modifiche, non viene fornito alcun dato. Ciò può ritardare la generazione dei risultati CSPM di Security Hub fino al completamento di un periodo di 24 ore. Indipendentemente dal periodo di registrazione scelto, Security Hub CSPM effettua controlli ogni 18 ore per assicurarsi che non siano AWS Config stati persi gli aggiornamenti delle risorse.
In generale, Security Hub CSPM utilizza regole attivate dalle modifiche quando possibile. Affinché una risorsa utilizzi una regola attivata da una modifica, deve supportare gli elementi di configurazione. AWS Config
# Generazione e aggiornamento dei risultati di controllo
AWS Security Hub CSPM genera e aggiorna i risultati dei controlli quando esegue controlli di sicurezza. I risultati del controllo utilizzano il [AWS Security Finding Format (ASFF)](securityhub-findings-format.md).
Security Hub CSPM normalmente addebita un costo per ogni controllo di sicurezza. Tuttavia, se più controlli utilizzano la stessa AWS Config regola, Security Hub CSPM addebita solo una volta per ogni controllo rispetto alla regola. Ad esempio, la AWS Config `iam-password-policy` regola viene utilizzata da più controlli nello standard CIS AWS Foundations Benchmark e nello standard AWS Foundational Security Best Practices. Ogni volta che Security Hub CSPM esegue un controllo rispetto a tale regola, genera un risultato di controllo separato per ogni controllo correlato, ma addebita una sola volta per il controllo.
Se la dimensione di un risultato di controllo supera il massimo di 240 KB, Security Hub CSPM rimuove l'`Resource.Details`oggetto dal risultato. Per i controlli supportati da AWS Config risorse, è possibile rivedere i dettagli delle risorse utilizzando la console. AWS Config
**Topics**
+ [Risultati di controllo consolidati](#consolidated-control-findings)
+ [Generazione, aggiornamento e archiviazione dei risultati di controllo](#securityhub-standards-results-updating)
+ [Automazione e soppressione dei risultati del controllo](#automation-control-findings)
+ [Dettagli sulla conformità per i risultati del controllo](#control-findings-asff-compliance)
+ [ProductFields dettagli relativi ai risultati del controllo](#control-findings-asff-productfields)
+ [Livelli di gravità per i risultati del controllo](#control-findings-severity)
## Risultati di controllo consolidati
Se i risultati del controllo consolidato sono abilitati per il tuo account, Security Hub CSPM genera un singolo risultato o aggiornamento dei risultati per ogni controllo di sicurezza di un controllo, anche se un controllo si applica a più standard abilitati. Per un elenco dei controlli e degli standard a cui si applicano, consulta la. [Riferimento di controllo per Security Hub CSPM](securityhub-controls-reference.md) Si consiglia di abilitare risultati di controllo consolidati per ridurre il rumore di rilevamento.
Se hai abilitato Security Hub CSPM Account AWS prima del 23 febbraio 2023, puoi abilitare i risultati del controllo consolidato seguendo le istruzioni riportate più avanti in questa sezione. Se abiliti Security Hub CSPM a partire dal 23 febbraio 2023, i risultati del controllo consolidato vengono abilitati automaticamente per il tuo account.
Se utilizzi l'[integrazione CSPM di Security Hub con AWS Organizations](securityhub-accounts-orgs.md) o account membro invitati tramite una [procedura di invito manuale](account-management-manual.md), i risultati del controllo consolidato sono abilitati per gli account membro solo se sono abilitati per l'account amministratore. Se la funzionalità è disabilitata per l'account amministratore, è disabilitata per gli account dei membri. Questo comportamento si applica agli account membro nuovi ed esistenti. Inoltre, se l'amministratore utilizza la [configurazione centrale](central-configuration-intro.md) per gestire Security Hub CSPM per più account, non può utilizzare policy di configurazione centrale per abilitare o disabilitare i risultati del controllo consolidato per gli account.
Se disabiliti i risultati del controllo consolidato per il tuo account, Security Hub CSPM genera o aggiorna un risultato di controllo separato per ogni standard abilitato che include un controllo. Ad esempio, se abiliti quattro standard che condividono un controllo, ricevi quattro risultati separati dopo un controllo di sicurezza per il controllo. Se abiliti i risultati del controllo consolidato, riceverai solo un risultato.
Quando abiliti i risultati del controllo consolidato, Security Hub CSPM crea nuovi risultati indipendenti dallo standard e archivia i risultati originali basati sullo standard. Alcuni campi e valori di controllo relativi alla ricerca cambieranno, il che potrebbe influire sui flussi di lavoro esistenti. Per informazioni su queste modifiche, consulta[Risultati di controllo consolidati: modifiche ASFF](asff-changes-consolidation.md#securityhub-findings-format-consolidated-control-findings). L'abilitazione dei risultati del controllo consolidato potrebbe influire anche sui risultati che i prodotti integrati di terze parti ricevono da Security Hub CSPM. Se utilizzi la soluzione [Automated Security Response on AWS v2.0.0](https://aws.amazon.com/solutions/implementations/aws-security-hub-automated-response-and-remediation/), tieni presente che supporta i risultati del controllo consolidato.
Per abilitare o disabilitare i risultati del controllo consolidato, è necessario accedere a un account amministratore o a un account autonomo.
**Nota**
Dopo aver abilitato i risultati del controllo consolidato, possono essere necessarie fino a 24 ore prima che Security Hub CSPM generi nuovi risultati consolidati e archivi i risultati esistenti basati sugli standard. Allo stesso modo, dopo aver disabilitato i risultati del controllo consolidato, possono essere necessarie fino a 24 ore prima che Security Hub CSPM generi nuovi risultati basati su standard e archivi i risultati consolidati esistenti. In questi periodi, potresti visualizzare nel tuo account un mix di risultati indipendenti dagli standard e basati sugli standard.
------
#### [ Security Hub CSPM console ]
**Per abilitare o disabilitare i risultati del controllo consolidato**
1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Nel riquadro di navigazione, in **Settings (Impostazioni)**, scegliere **General (Generali)**.
1. **Nella sezione **Controlli**, scegli Modifica.**
1. Utilizzate l'interruttore **Consolidated control results (Risultati** di controllo consolidati) per abilitare o disabilitare i risultati del controllo consolidato.
1. Scegli **Save** (Salva).
------
#### [ Security Hub CSPM API ]
Per abilitare o disabilitare i risultati del controllo consolidato a livello di codice, utilizzate il [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateSecurityHubConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateSecurityHubConfiguration.html)funzionamento dell'API CSPM Security Hub. Oppure, se utilizzi il, esegui il AWS CLI comando. [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-security-hub-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-security-hub-configuration.html)
Per il `control-finding-generator` parametro, specificate `SECURITY_CONTROL` se abilitare i risultati del controllo consolidato. Per disabilitare i risultati del controllo consolidato, specificare. `STANDARD_CONTROL`
Ad esempio, il AWS CLI comando seguente abilita i risultati di controllo consolidati.
```
$ aws securityhub --region us-east-1 update-security-hub-configuration --control-finding-generator SECURITY_CONTROL
```
Il AWS CLI comando seguente disabilita i risultati del controllo consolidato.
```
$ aws securityhub --region us-east-1 update-security-hub-configuration --control-finding-generator STANDARD_CONTROL
```
------
## Generazione, aggiornamento e archiviazione dei risultati di controllo
[Security Hub CSPM esegue i controlli di sicurezza in base a una pianificazione.](securityhub-standards-schedule.md) La prima volta che Security Hub CSPM esegue un controllo di sicurezza, genera un nuovo risultato per ogni AWS risorsa controllata dal controllo. Ogni volta che Security Hub CSPM esegue successivamente un controllo di sicurezza per il controllo, aggiorna i risultati esistenti per riportare i risultati del controllo. Ciò significa che è possibile utilizzare i dati forniti dai singoli risultati per tenere traccia delle modifiche di conformità per particolari risorse rispetto a controlli particolari.
Ad esempio, se lo stato di conformità di una risorsa cambia da `FAILED` a `PASSED` per un particolare controllo, Security Hub CSPM non genera nuovi risultati. Invece, Security Hub CSPM aggiorna i risultati esistenti per il controllo e la risorsa. Nel risultato, Security Hub CSPM modifica il valore del campo compliance status (`Compliance.Status`) in. `PASSED` Security Hub CSPM aggiorna anche i valori dei campi aggiuntivi per riflettere i risultati del controllo, ad esempio l'etichetta di gravità, lo stato del flusso di lavoro e i timestamp che indicano quando Security Hub CSPM ha eseguito il controllo più di recente e aggiornato il risultato.
Quando riporta le modifiche allo stato di conformità, Security Hub CSPM potrebbe aggiornare uno dei seguenti campi in un risultato di controllo:
+ `Compliance.Status`— Il nuovo stato di conformità della risorsa per il controllo specificato.
+ `FindingProviderFields.Severity.Label`— La nuova rappresentazione qualitativa della gravità del risultato, ad esempio `LOW``MEDIUM`, o`HIGH`.
+ `FindingProviderFields.Severity.Original`— La nuova rappresentazione quantitativa della gravità del risultato, ad esempio `0` per una risorsa conforme.
+ `FirstObservedAt`— Data dell'ultima modifica dello stato di conformità della risorsa.
+ `LastObservedAt`— L'ultima volta che Security Hub CSPM ha eseguito il controllo di sicurezza per il controllo e la risorsa specificati.
+ `ProcessedAt`— Quando Security Hub CSPM ha recentemente iniziato a elaborare la scoperta.
+ `ProductFields.PreviousComplianceStatus`— Lo stato di conformità precedente (`Compliance.Status`) della risorsa per il controllo specificato.
+ `UpdatedAt`— Quando Security Hub CSPM ha aggiornato l'ultima volta la scoperta.
+ `Workflow.Status`— Lo stato dell'indagine sul risultato, in base al nuovo stato di conformità della risorsa per il controllo specificato.
L'aggiornamento di un campo da parte di Security Hub CSPM dipende principalmente dai risultati dell'ultimo controllo di sicurezza per il controllo e la risorsa applicabili. Ad esempio, se lo stato di conformità di una risorsa cambia da `PASSED` a `FAILED` per un particolare controllo, Security Hub CSPM modifica lo stato del flusso di lavoro del risultato in. `NEW` Per tenere traccia degli aggiornamenti dei singoli risultati, puoi fare riferimento alla cronologia di un risultato. Per dettagli sui singoli campi dei risultati, consulta [AWS Security Finding Format (ASFF)](securityhub-findings-format.md).
In alcuni casi, Security Hub CSPM genera nuovi risultati per i controlli successivi tramite un controllo, invece di aggiornare i risultati esistenti. Questo può verificarsi se c'è un problema con la AWS Config regola che supporta un controllo. In tal caso, Security Hub CSPM archivia i risultati esistenti e genera un nuovo risultato per ogni controllo. Nelle nuove scoperte, lo stato di conformità è `NOT_AVAILABLE` e lo stato del record è. `ARCHIVED` Dopo aver risolto il problema con la AWS Config regola, Security Hub CSPM genera nuovi risultati e inizia ad aggiornarli per tenere traccia delle successive modifiche allo stato di conformità delle singole risorse.
Oltre a generare e aggiornare i risultati di controllo, Security Hub CSPM archivia automaticamente i risultati di controllo che soddisfano determinati criteri. Security Hub CSPM archivia un risultato se il controllo è disabilitato, la risorsa specificata viene eliminata o la risorsa specificata non esiste più. Una risorsa potrebbe non esistere più perché il servizio associato non viene più utilizzato. Più specificamente, Security Hub CSPM archivia automaticamente un risultato di controllo se il risultato soddisfa uno dei seguenti criteri:
+ Il risultato non viene aggiornato da 3-5 giorni. Tieni presente che l'archiviazione basata su questo periodo di tempo viene effettuata con la massima diligenza possibile e non è garantita.
+ La AWS Config valutazione associata restituita `NOT_APPLICABLE` per lo stato di conformità della risorsa specificata.
Per determinare se un risultato è archiviato, è possibile fare riferimento al campo record state (`RecordState`) del risultato. Se un risultato è archiviato, il valore di questo campo è. `ARCHIVED`
Security Hub CSPM archivia i risultati di controllo archiviati per 30 giorni. Dopo 30 giorni, i risultati scadono e Security Hub CSPM li elimina definitivamente. Per determinare se un risultato di controllo archiviato è scaduto, Security Hub CSPM basa il calcolo sul valore del `UpdatedAt` campo del risultato.
Per archiviare i risultati di controllo archiviati per più di 30 giorni, puoi esportare i risultati in un bucket S3. Puoi farlo utilizzando un'azione personalizzata con una EventBridge regola Amazon. Per ulteriori informazioni, consulta [Utilizzo EventBridge per la risposta e la correzione automatizzate](securityhub-cloudwatch-events.md).
**Nota**
Prima del 3 luglio 2025, Security Hub CSPM generava e aggiornava i risultati del controllo in modo diverso quando lo stato di conformità di una risorsa cambiava rispetto a un controllo. In precedenza, Security Hub CSPM creava un nuovo risultato di controllo e archiviava il risultato esistente per una risorsa. Pertanto, potreste avere più risultati archiviati per un particolare controllo e risorsa fino alla scadenza di tali risultati (dopo 30 giorni).
## Automazione e soppressione dei risultati del controllo
È possibile utilizzare le regole di automazione CSPM di Security Hub per aggiornare o eliminare risultati di controllo specifici. Se si elimina un risultato, è possibile continuare ad accedervi. Tuttavia, la soppressione indica che ritenete che non sia necessaria alcuna azione per risolvere il problema.
Sopprimendo i risultati, è possibile ridurre il rumore di ricerca. Ad esempio, è possibile sopprimere i risultati dei controlli generati negli account di test. In alternativa, è possibile sopprimere i risultati relativi a risorse specifiche. Per ulteriori informazioni sull'aggiornamento o la soppressione automatica dei risultati, consulta. [Comprensione delle regole di automazione in Security Hub CSPM](automation-rules.md)
Le regole di automazione sono appropriate quando si desidera aggiornare o eliminare risultati di controllo specifici. Tuttavia, se un controllo non è pertinente alla tua organizzazione o al tuo caso d'uso, ti consigliamo di [disabilitarlo](disable-controls-overview.md). Se disabiliti un controllo, Security Hub CSPM non esegue controlli di sicurezza per esso e non ti viene addebitato alcun costo.
## Dettagli sulla conformità per i risultati del controllo
Nei risultati generati dai controlli di sicurezza, l'oggetto [Compliance](asff-top-level-attributes.md#asff-compliance) e i campi del AWS Security Finding Format (ASFF) forniscono dettagli sulla conformità per le singole risorse controllate da un controllo. Ciò include le seguenti informazioni:
+ `AssociatedStandards`— Gli standard abilitati in cui è abilitato il controllo.
+ `RelatedRequirements`— I relativi requisiti per il controllo in tutti gli standard abilitati. Questi requisiti derivano da framework di sicurezza di terze parti per il controllo, come il Payment Card Industry Data Security Standard (PCI DSS) o lo standard NIST SP 800-171 Revision 2.
+ `SecurityControlId`— L'identificatore per il controllo attraverso gli standard supportati da Security Hub CSPM.
+ `Status`— Il risultato del controllo più recente eseguito da Security Hub CSPM per il controllo. I risultati dei controlli precedenti vengono conservati nella cronologia del risultato.
+ `StatusReasons`— Un array che elenca i motivi del valore specificato dal `Status` campo. Per ogni motivo, sono inclusi un codice motivo e una descrizione.
La tabella seguente elenca i codici dei motivi e le descrizioni che un risultato potrebbe includere nell'`StatusReasons`array. Le fasi di correzione variano in base al controllo che ha generato un risultato con un codice motivo specificato. Per rivedere le linee guida per la riparazione di un controllo, fare riferimento a. [Riferimento di controllo per Security Hub CSPM](securityhub-controls-reference.md)
| Codice di motivo | Compliance status (Stato di conformità) | Description |
| --- | --- | --- |
| `CLOUDTRAIL_METRIC_FILTER_NOT_VALID` | `FAILED` | Il CloudTrail percorso multiregionale non dispone di un filtro metrico valido. |
| `CLOUDTRAIL_METRIC_FILTERS_NOT_PRESENT` | `FAILED` | I filtri metrici non sono presenti per il percorso multiregionale. CloudTrail |
| `CLOUDTRAIL_MULTI_REGION_NOT_PRESENT` | `FAILED` | L'account non dispone di un CloudTrail percorso multiregionale con la configurazione richiesta. |
| `CLOUDTRAIL_REGION_INVAILD` | `WARNING` | I CloudTrail percorsi multiregione non si trovano nella regione attuale. |
| `CLOUDWATCH_ALARM_ACTIONS_NOT_VALID` | `FAILED` | Non sono presenti operazioni di allarme valide. |
| `CLOUDWATCH_ALARMS_NOT_PRESENT` | `FAILED` | CloudWatch gli allarmi non esistono nell'account. |
| `CONFIG_ACCESS_DENIED` | `NOT_AVAILABLE` AWS Config lo stato è `ConfigError` | AWS Config accesso negato. Verifica che AWS Config sia abilitato e che siano state concesse autorizzazioni sufficienti. |
| `CONFIG_EVALUATIONS_EMPTY` | `PASSED` | AWS Config ha valutato le tue risorse in base alla regola. La regola non si applicava alle AWS risorse incluse nel suo ambito, le risorse specificate sono state eliminate o i risultati della valutazione sono stati eliminati. |
| `CONFIG_RECORDER_CUSTOM_ROLE` | `FAILED`(per Config.1) | Il AWS Config registratore utilizza un ruolo IAM personalizzato anziché il ruolo AWS Config collegato al servizio e il parametro `includeConfigServiceLinkedRoleCheck` personalizzato per Config.1 non è impostato su. `false` |
| `CONFIG_RECORDER_DISABLED` | `FAILED`(per Config.1) | AWS Config non è abilitato con il registratore di configurazione acceso. |
| `CONFIG_RECORDER_MISSING_REQUIRED_RESOURCE_TYPES` | `FAILED`(per Config.1) | AWS Config non registra tutti i tipi di risorse che corrispondono ai controlli CSPM di Security Hub abilitati. Attiva la registrazione per le seguenti risorse:. *Resources that aren't being recorded* |
| `CONFIG_RETURNS_NOT_APPLICABLE` | `NOT_AVAILABLE` | Lo stato di conformità è `NOT_AVAILABLE` dovuto al fatto che è stato AWS Config restituito lo stato **Non applicabile**. AWS Config non fornisce il motivo dello stato. Ecco alcuni possibili motivi dello stato **Non applicabile**: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/controls-findings-create-update.html) |
| `CONFIG_RULE_EVALUATION_ERROR` | `NOT_AVAILABLE` AWS Config lo stato è `ConfigError` | Questo codice motivo viene utilizzato per diversi tipi di errori di valutazione. La descrizione fornisce le informazioni sul motivo specifico. Il tipo di errore può essere uno dei seguenti: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/controls-findings-create-update.html) |
| `CONFIG_RULE_NOT_FOUND` | `NOT_AVAILABLE` AWS Config lo stato è `ConfigError` | La AWS Config regola è in fase di creazione. |
| `INTERNAL_SERVICE_ERROR` | `NOT_AVAILABLE` | Si è verificato un errore sconosciuto. |
| `LAMBDA_CUSTOM_RUNTIME_DETAILS_NOT_AVAILABLE` | `FAILED` | Security Hub CSPM non è in grado di eseguire un controllo rispetto a un runtime Lambda personalizzato. |
| `S3_BUCKET_CROSS_ACCOUNT_CROSS_REGION` | `WARNING` | Il risultato è in uno `WARNING` stato perché il bucket S3 associato a questa regola si trova in una regione o in un account diverso. Questa regola non supporta controlli tra regioni o account. È consigliabile disabilitare questo controllo in questa regione o account. Esegui solo nella regione o nell'account in cui si trova la risorsa. |
| `SNS_SUBSCRIPTION_NOT_PRESENT` | `FAILED` | I filtri metrici CloudWatch Logs non dispongono di un abbonamento Amazon SNS valido. |
| `SNS_TOPIC_CROSS_ACCOUNT` | `WARNING` | Il risultato è in uno stato. `WARNING` L'argomento SNS associato a questa regola è di proprietà di un account diverso. L'account corrente non è in grado di ottenere le informazioni sull'abbonamento. L'account proprietario dell'argomento SNS deve concedere all'account corrente l'`sns:ListSubscriptionsByTopic`autorizzazione per l'argomento SNS. |
| `SNS_TOPIC_CROSS_ACCOUNT_CROSS_REGION` | `WARNING` | Il risultato è in uno `WARNING` stato in cui l'argomento SNS associato a questa regola si trova in una regione o in un account diverso. Questa regola non supporta controlli tra regioni o account. È consigliabile disabilitare questo controllo in questa regione o account. Esegui solo nella regione o nell'account in cui si trova la risorsa. |
| `SNS_TOPIC_INVALID` | `FAILED` | L'argomento SNS associato a questa regola non è valido. |
| `THROTTLING_ERROR` | `NOT_AVAILABLE` | L'operazione API pertinente ha superato il limite consentito. |
## ProductFields dettagli relativi ai risultati del controllo
Nei risultati generati dai controlli di sicurezza per i controlli, l'[ProductFields](asff-top-level-attributes.md#asff-productfields)attributo del AWS Security Finding Format (ASFF) può includere i seguenti campi.
`ArchivalReasons:0/Description`
Descrive perché Security Hub CSPM ha archiviato un risultato.
Ad esempio, Security Hub CSPM archivia i risultati esistenti quando si disabilita un controllo o uno standard oppure si abilitano o disabilitano i risultati del controllo [consolidato](#consolidated-control-findings).
`ArchivalReasons:0/ReasonCode`
Specifica il motivo per cui Security Hub CSPM ha archiviato un risultato.
Ad esempio, Security Hub CSPM archivia i risultati esistenti quando si disabilita un controllo o uno standard oppure si abilitano o disabilitano i risultati del controllo [consolidato](#consolidated-control-findings).
`PreviousComplianceStatus`
Lo stato di conformità precedente (`Compliance.Status`) della risorsa per il controllo specificato, a partire dall'aggiornamento più recente del risultato. Se lo stato di conformità della risorsa non è cambiato durante l'aggiornamento più recente, questo valore è uguale al valore del `Compliance.Status` campo del risultato. Per un elenco di possibili valori, consulta [Valutazione dello stato di conformità e dello stato di controllo](controls-overall-status.md).
`StandardsGuideArn` o `StandardsArn`
L'ARN dello standard associato al controllo.
Per lo standard CIS AWS Foundations Benchmark, il campo è. `StandardsGuideArn` Per gli standard PCI DSS e AWS Foundational Security Best Practices, il campo è. `StandardsArn`
Questi campi vengono rimossi a favore di `Compliance.AssociatedStandards` se si abilitano i risultati di controllo [consolidati](#consolidated-control-findings).
`StandardsGuideSubscriptionArn` o `StandardsSubscriptionArn`
L'ARN dell'abbonamento dell'account allo standard.
Per lo standard CIS AWS Foundations Benchmark, il campo è. `StandardsGuideSubscriptionArn` Per gli standard PCI DSS e AWS Foundational Security Best Practices, il campo è. `StandardsSubscriptionArn`
Questi campi vengono rimossi se si abilitano i risultati del controllo [consolidato](#consolidated-control-findings).
`RuleId` o `ControlId`
L'identificatore del controllo.
Per la versione 1.2.0 dello standard CIS AWS Foundations Benchmark, il campo è. `RuleId` Per altri standard, incluse le versioni successive dello standard CIS AWS Foundations Benchmark, il campo è. `ControlId`
Questi campi vengono rimossi a favore di `Compliance.SecurityControlId` se si abilitano i risultati di controllo [consolidati.](#consolidated-control-findings)
`RecommendationUrl`
L'URL per le informazioni sulla correzione del controllo. Questo campo viene rimosso a favore di `Remediation.Recommendation.Url` se si abilitano i risultati del [controllo consolidato](#consolidated-control-findings).
`RelatedAWSResources:0/name`
Il nome della risorsa associata al risultato.
`RelatedAWSResource:0/type`
Il tipo di risorsa associata al controllo.
`StandardsControlArn`
L'ARN del controllo. Questo campo viene rimosso se si abilitano i [risultati del controllo consolidato](#consolidated-control-findings).
`aws/securityhub/ProductName`
Per i risultati del controllo, il nome del prodotto è`Security Hub`.
`aws/securityhub/CompanyName`
Per i risultati del controllo, il nome dell'azienda è`AWS`.
`aws/securityhub/annotation`
Una descrizione del problema rilevato dal controllo.
`aws/securityhub/FindingId`
L'identificatore del risultato.
Questo campo non fa riferimento a uno standard se si abilitano i risultati di [controllo consolidati](#consolidated-control-findings).
## Livelli di gravità per i risultati del controllo
La severità assegnata a un controllo CSPM di Security Hub indica l'importanza del controllo. La gravità di un controllo determina l'etichetta di gravità assegnata ai risultati del controllo.
### Criteri di gravità
La gravità di un controllo è determinata sulla base di una valutazione dei seguenti criteri:
+ **Quanto è difficile per un autore di minacce sfruttare la debolezza della configurazione associata al controllo?** La difficoltà è determinata dal livello di sofisticazione o complessità necessario per utilizzare la vulnerabilità per realizzare uno scenario di minaccia.
+ **Quanto è probabile che la debolezza porti a una compromissione delle vostre Account AWS risorse?** Una compromissione delle vostre Account AWS risorse significa che la riservatezza, l'integrità o la disponibilità dei dati o dell' AWS infrastruttura vengono danneggiate in qualche modo. La probabilità di compromissione indica la probabilità che lo scenario di minaccia comporti un'interruzione o una violazione delle tue o delle tue Servizi AWS risorse.
Ad esempio, consideriamo i seguenti punti deboli della configurazione:
+ Le chiavi di accesso utente non vengono ruotate ogni 90 giorni.
+ La chiave utente root IAM esiste.
Entrambi i punti deboli sono ugualmente difficili da sfruttare per un avversario. In entrambi i casi, l'avversario può utilizzare il furto di credenziali o qualche altro metodo per acquisire una chiave utente. Possono quindi utilizzarlo per accedere alle tue risorse in modo non autorizzato.
Tuttavia, la probabilità di una compromissione è molto più elevata se l'autore della minaccia acquisisce la chiave di accesso dell'utente root, in quanto ciò gli offre un accesso maggiore. Di conseguenza, la vulnerabilità della chiave dell'utente root ha una gravità maggiore.
La gravità non tiene conto della criticità della risorsa sottostante. La criticità è il livello di importanza delle risorse associate alla scoperta. Ad esempio, una risorsa associata a un'applicazione mission critical è più importante di una associata a test non di produzione. Per acquisire informazioni sulla criticità delle risorse, utilizzate il `Criticality` campo del AWS Security Finding Format (ASFF).
La tabella seguente associa la difficoltà di sfruttamento e la probabilità di compromissione alle etichette di sicurezza.
| | | | | |
| --- |--- |--- |--- |--- |
| | **Un compromesso è altamente probabile** | **Compromesso probabile** | **Compromesso improbabile** | **Compromesso altamente improbabile** |
| **Molto facile da sfruttare** | Critica | Critica | Elevata | Media |
| **Un po' facile da sfruttare** | Critica | Elevata | Media | Media |
| **Un po' difficile da sfruttare** | Elevata | Media | Media | Bassa |
| **Molto difficile da sfruttare** | Media | Media | Bassa | Bassa |
### Definizioni di gravità
Le etichette di gravità sono definite come segue.
**Critico: il problema deve essere risolto immediatamente per evitare che si aggravi.**
Ad esempio, un bucket S3 aperto è considerato un risultato di gravità critica. Poiché così tanti autori delle minacce cercano bucket S3 aperti, è probabile che i dati contenuti nei bucket S3 esposti vengano scoperti e consultati da altri.
In generale, le risorse accessibili al pubblico sono considerate problemi di sicurezza critici. È necessario trattare i risultati critici con la massima urgenza. È inoltre necessario considerare la criticità della risorsa.
**Alto: il problema deve essere affrontato come priorità a breve termine.**
Ad esempio, se un gruppo di sicurezza VPC predefinito è aperto al traffico in entrata e in uscita, viene considerato ad alta severità. È piuttosto facile per un autore di minacce compromettere un VPC utilizzando questo metodo. È anche probabile che l'autore della minaccia sia in grado di interrompere o esfiltrare le risorse una volta inserite nel VPC.
Security Hub CSPM consiglia di considerare un rilevamento di elevata gravità come una priorità a breve termine. È necessario adottare misure correttive immediate. È inoltre necessario considerare la criticità della risorsa.
**Medio: la questione dovrebbe essere affrontata come priorità a medio termine.**
Ad esempio, la mancanza di crittografia per i dati in transito è considerata una rilevazione di gravità media. È necessario un man-in-the-middle attacco sofisticato per sfruttare questa debolezza. In altre parole, è piuttosto difficile. È probabile che alcuni dati vengano compromessi se lo scenario di minaccia ha esito positivo.
Security Hub CSPM consiglia di esaminare la risorsa implicata il prima possibile. È inoltre necessario considerare la criticità della risorsa.
**Basso: il problema non richiede di per sé un'azione.**
Ad esempio, la mancata raccolta di informazioni forensi è considerata di bassa gravità. Questo controllo può aiutare a prevenire future compromessi, ma l'assenza di analisi forensi non porta direttamente a un compromesso.
Non è necessario agire immediatamente sugli esiti di bassa gravità, ma possono fornire un contesto quando li si correla con altri problemi.
**Informativo: non è stato rilevato alcun punto debole nella configurazione.**
In altre parole, lo stato è `PASSED``WARNING`, o`NOT AVAILABLE`.
Non vi è alcuna azione consigliata. I risultati informativi aiutano i clienti a dimostrare di essere conformi.
# Valutazione dello stato di conformità e dello stato di controllo
Il `Compliance.Status` campo del AWS Security Finding Format descrive il risultato di un risultato di controllo. AWS Security Hub CSPM utilizza lo stato di conformità dei risultati del controllo per determinare lo stato di controllo generale. Lo stato del controllo viene visualizzato nella pagina dei dettagli di un controllo sulla console Security Hub CSPM.
## Valutazione dello stato di conformità dei risultati del Security Hub CSPM
Allo stato di conformità per ogni risultato viene assegnato uno dei seguenti valori:
+ `PASSED`— Indica che il controllo ha superato il controllo di sicurezza relativo al risultato. Questo imposta automaticamente il Security Hub CSPM `Workflow.Status` su. `RESOLVED`
+ `FAILED`— Indica che il controllo non ha superato il controllo di sicurezza relativo al risultato.
+ `WARNING`— Indica che Security Hub CSPM non è in grado di determinare se la risorsa si trova in uno stato `PASSED` o`FAILED`. Ad esempio, [la registrazione AWS Config delle risorse](securityhub-setup-prereqs.md#config-resource-recording) non è attivata per il tipo di risorsa corrispondente.
+ `NOT_AVAILABLE`— Indica che il controllo non può essere completato perché un server ha avuto un errore, la risorsa è stata eliminata o il risultato della AWS Config valutazione sì`NOT_APPLICABLE`. Se il risultato della AWS Config valutazione è stato`NOT_APPLICABLE`, Security Hub CSPM archivia automaticamente il risultato.
Se lo stato di conformità di un risultato cambia `PASSED` da`FAILED`, o`WARNING`, ed `Workflow.Status` era uno o`NOT_AVAILABLE`, o, `NOTIFIED` o`RESOLVED`, Security Hub CSPM cambia `Workflow.Status` automaticamente in. `NEW`
Se non disponi di risorse corrispondenti a un controllo, Security Hub CSPM produce un `PASSED` risultato a livello di account. Se hai una risorsa corrispondente a un controllo ma poi la elimini, Security Hub CSPM crea un `NOT_AVAILABLE` risultato e lo archivia immediatamente. Dopo 18 ore, ricevi un `PASSED` risultato perché non hai più risorse corrispondenti al controllo.
## Determinare lo stato di controllo dallo stato di conformità
Security Hub CSPM ricava uno stato di controllo generale dallo stato di conformità dei risultati del controllo. Nel determinare lo stato del controllo, Security Hub CSPM ignora i risultati con un `RecordState` di `ARCHIVED` e i risultati con un di. `Workflow.Status` `SUPPRESSED`
Allo stato del controllo viene assegnato uno dei seguenti valori:
+ **Passato**: indica che tutti i risultati hanno uno stato di conformità pari a`PASSED`.
+ **Non riuscito**: indica che almeno un risultato ha uno stato di conformità pari a`FAILED`.
+ **Sconosciuto**: indica che almeno un risultato ha uno stato di conformità pari a `WARNING` o`NOT_AVAILABLE`. Nessun risultato ha uno stato di conformità pari a`FAILED`.
+ **Nessun dato**: indica che non ci sono risultati per il controllo. Ad esempio, un controllo appena abilitato ha questo stato fino a quando Security Hub CSPM non inizia a generare i relativi risultati. Un controllo ha questo stato anche se tutti i risultati sono `SUPPRESSED` o non sono disponibili nella versione corrente. Regione AWS
+ **Disabilitato**: indica che il controllo è disabilitato nell'account e nella regione correnti. Al momento non vengono eseguiti controlli di sicurezza per questo controllo nell'account e nella regione correnti. Tuttavia, i risultati di un controllo disattivato possono avere un valore per lo stato di conformità fino a 24 ore dopo la disabilitazione.
Per un account amministratore, lo stato di controllo riflette lo stato di controllo dell'account amministratore e degli account membro. In particolare, lo stato generale di un controllo appare come **Non riuscito** se il controllo presenta uno o più risultati non riusciti nell'account amministratore o in uno degli account dei membri. Se è stata impostata una regione di aggregazione, lo stato di controllo nella regione di aggregazione riflette lo stato di controllo nella regione di aggregazione e nelle regioni collegate. In particolare, lo stato generale di un controllo appare come **Non riuscito** se il controllo presenta uno o più risultati non riusciti nella regione di aggregazione o in una delle regioni collegate.
Security Hub CSPM genera in genere lo stato di controllo iniziale entro 30 minuti dalla prima visita alla pagina di **riepilogo** o alla pagina **degli standard di sicurezza** sulla console CSPM di Security Hub. È necessario che la [registrazione AWS Config delle risorse](controls-config-resources.md) sia configurata per visualizzare lo stato del controllo. Dopo la prima generazione degli stati di controllo, Security Hub CSPM aggiorna gli stati di controllo ogni 24 ore in base ai risultati delle 24 ore precedenti. Un timestamp nella pagina dei dettagli del controllo indica quando lo stato del controllo è stato aggiornato l'ultima volta.
**Nota**
Dopo aver abilitato un controllo per la prima volta, possono essere necessarie fino a 24 ore per generare gli stati di controllo nelle regioni della Cina e nel AWS GovCloud (US) Region.
# Calcolo dei punteggi di sicurezza
Nella console AWS Security Hub CSPM, la pagina **Riepilogo** e la pagina **Controlli** mostrano un punteggio di sicurezza riassuntivo per tutti gli standard abilitati. Nella pagina **degli standard di sicurezza**, Security Hub CSPM mostra anche un punteggio di sicurezza compreso tra 0 e 100 percento per ogni standard abilitato.
Quando abiliti Security Hub CSPM per la prima volta, Security Hub CSPM calcola il punteggio di sicurezza riepilogativo e i punteggi di sicurezza standard entro 30 minuti dalla prima visita alla pagina **Riepilogo** o **Standard di sicurezza sulla console**. I punteggi vengono generati solo per gli standard abilitati quando si visitano quelle pagine sulla console. Inoltre, la registrazione AWS Config delle risorse deve essere configurata per visualizzare gli spartiti. Il punteggio di sicurezza riassuntivo è la media dei punteggi di sicurezza standard. Per esaminare un elenco di standard attualmente abilitati, puoi utilizzare il [GetEnabledStandards](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html)funzionamento dell'API CSPM Security Hub.
Dopo la prima generazione di punteggi, Security Hub CSPM aggiorna i punteggi di sicurezza ogni 24 ore. Security Hub CSPM visualizza un timestamp per indicare quando un punteggio di sicurezza è stato aggiornato l'ultima volta. Tieni presente che possono essere necessarie fino a 24 ore prima che i punteggi di sicurezza vengano generati per la prima volta nelle regioni della Cina e AWS GovCloud (US) Regions.
Se attivi i [risultati del controllo consolidato](controls-findings-create-update.md#consolidated-control-findings), l'aggiornamento dei punteggi di sicurezza può richiedere fino a 24 ore. Inoltre, l'abilitazione di una nuova regione di aggregazione o l'aggiornamento delle aree collegate ripristina i punteggi di sicurezza esistenti. Security Hub CSPM può impiegare fino a 24 ore per generare nuovi punteggi di sicurezza che includono i dati delle regioni aggiornate.
## Metodo di calcolo dei punteggi di sicurezza
I punteggi di sicurezza rappresentano la proporzione tra controlli **passati** e controlli abilitati. Il punteggio viene visualizzato come percentuale arrotondata per eccesso o per difetto al numero intero più vicino.
Security Hub CSPM calcola un punteggio di sicurezza riassuntivo per tutti gli standard abilitati. Security Hub CSPM calcola anche un punteggio di sicurezza per ogni standard abilitato. **Ai fini del calcolo del punteggio, i controlli abilitati includono controlli con lo stato di **Passato**, **Non riuscito** e Sconosciuto.** I controlli con stato **Nessun dato** sono esclusi dal calcolo del punteggio.
Security Hub CSPM ignora i risultati archiviati e soppressi durante il calcolo dello stato del controllo. Ciò può influire sui punteggi di sicurezza. Ad esempio, se si eliminano tutti i risultati non riusciti di un controllo, il relativo stato diventa **Passato**, il che a sua volta può migliorare i punteggi di sicurezza. Per ulteriori informazioni sullo stato del controllo, vedere[Valutazione dello stato di conformità e dello stato di controllo](controls-overall-status.md).
**Esempio di punteggio:**
| Standard | Controlli superati | Controlli falliti | Controlli sconosciuti | Punteggio standard |
| --- | --- | --- | --- | --- |
| AWS Best practice di sicurezza di base v1.0.0 | 168 | 22 | 0 | 88% |
| Benchmark CIS AWS Foundations v1.4.0 | 8 | 29 | 0 | 22% |
| Benchmark CIS AWS Foundations v1.2.0 | 6 | 35 | 0 | 15% |
| Pubblicazione speciale del NIST 800-53 Revisione 5 | 159 | 56 | 0 | 74% |
| PCI DSS v3.2.1 | 28 | 17 | 0 | 62% |
Nel calcolo del punteggio di sicurezza riassuntivo, Security Hub CSPM conta ogni controllo una sola volta tra gli standard. Ad esempio, se è stato abilitato un controllo che si applica a tre standard abilitati, ai fini del punteggio viene conteggiato come un solo controllo abilitato.
In questo esempio, sebbene il numero totale di controlli abilitati tra gli standard abilitati sia 528, Security Hub CSPM conta ogni controllo univoco solo una volta ai fini del punteggio. Il numero di controlli univoci abilitati è probabilmente inferiore a 528. Se assumiamo che il numero di controlli univoci abilitati sia 515 e che il numero di controlli unici approvati sia 357, il punteggio riepilogativo è 69%. Questo punteggio viene calcolato dividendo il numero di controlli univoci passati per il numero di controlli univoci abilitati.
Potresti avere un punteggio di riepilogo diverso dal punteggio di sicurezza standard, anche se hai abilitato solo uno standard nel tuo account nella regione corrente. Ciò può verificarsi se hai effettuato l'accesso a un account amministratore e negli account membro sono abilitati standard aggiuntivi o standard diversi. Ciò può verificarsi anche se stai visualizzando il punteggio della Regione di aggregazione e nelle Regioni collegate sono abilitati standard aggiuntivi o standard diversi.
## Punteggi di sicurezza per gli account degli amministratori
Se hai effettuato l'accesso a un account amministratore, il punteggio di sicurezza riepilogativo e i punteggi standard tengono conto degli stati di controllo nell'account amministratore e in tutti gli account dei membri.
Se lo stato di un controllo è **Non riuscito** anche in un solo account membro, il relativo stato è **Non riuscito** nell'account amministratore e influisce sui punteggi dell'account amministratore.
Se hai effettuato l'accesso a un account amministratore e stai visualizzando i punteggi in una regione di aggregazione, i punteggi di sicurezza tengono conto degli stati di controllo in tutti gli account membro *e* in tutte le regioni collegate.
## Punteggi di sicurezza se hai impostato una regione di aggregazione
Se hai impostato un'aggregazione Regione AWS, il punteggio di sicurezza riassuntivo e i punteggi standard tengono conto complessivamente degli stati di controllo Regioni collegate.
Se lo stato di un controllo è **Non riuscito** anche in una sola regione collegata, il relativo stato è **Non riuscito** nella regione di aggregazione e influisce sui punteggi della regione di aggregazione.
Se hai effettuato l'accesso a un account amministratore e stai visualizzando i punteggi in una regione di aggregazione, i punteggi di sicurezza tengono conto degli stati di controllo in tutti gli account membro *e* in tutte le regioni collegate.
# Categorie di controllo in Security Hub CSPM
A ogni controllo viene assegnata una categoria. La categoria di un controllo riflette la funzione di protezione a cui si applica il controllo.
Il valore della categoria contiene la categoria, la sottocategoria all'interno della categoria e, facoltativamente, un classificatore all'interno della sottocategoria. Esempio:
+ Identifica > Inventario
+ Proteggi > Protezione dei dati > Crittografia dei dati in transito
Di seguito sono riportate le descrizioni delle categorie, sottocategorie e classificatori disponibili.
## Identificazione
Sviluppare le conoscenze organizzative per gestire i rischi di sicurezza informatica per sistemi, risorse, dati e funzionalità.
** Inventory**
Il servizio ha implementato le strategie di tagging delle risorse corrette? Le strategie di tagging includono il proprietario della risorsa?
Quali risorse utilizza il servizio? Sono risorse approvate per questo servizio?
Hai visibilità sull'inventario approvato? Ad esempio, utilizzi servizi come Amazon EC2 Systems Manager e Service Catalog?
**Registrazione dei log**
Hai abilitato in modo sicuro tutte le registrazioni rilevanti per il servizio? Alcuni esempi di file di log includono:
+ Log di flusso Amazon VPC
+ Log di accesso per Elastic Load Balancing
+ CloudFront Registri Amazon
+ CloudWatch Registri Amazon
+ Registrazione di Amazon Relational Database Service
+ Log di indicizzazione lenti di Amazon OpenSearch Service
+ Tracciamento X-Ray
+ AWS Directory Service registri
+ AWS Config articoli
+ Snapshot
## Protezione
Sviluppare e implementare le misure di sicurezza appropriate per garantire la fornitura di servizi di infrastruttura critica e procedure di codifica sicure.
**Gestione sicura degli accessi**
Il servizio utilizza pratiche con privilegi minimi nelle sue politiche IAM o in materia di risorse?
Le password e i segreti sono sufficientemente complessi? Sono ruotati in modo appropriato?
Il servizio utilizza l'autenticazione a più fattori (MFA)?
Il servizio evita l'utente root?
I criteri basati sulle risorse consentono l'accesso pubblico?
**Configurazione di rete sicura**
Il servizio evita l'accesso alla rete remota pubblico e non sicuro?
Il servizio viene utilizzato VPCs correttamente? Ad esempio, i job sono necessari per essere eseguiti VPCs?
Il servizio segmenta e isola correttamente le risorse sensibili?
**Protezione dei dati**
Crittografia dei dati inattivi: il servizio crittografa i dati inattivi?
Crittografia dei dati in transito: il servizio crittografa i dati in transito?
Integrità dei dati: il servizio convalida l'integrità dei dati?
Protezione dall'eliminazione dei dati: il servizio protegge i dati dall'eliminazione accidentale?
Gestione e utilizzo dei dati: utilizzi servizi come Amazon Macie per tracciare la posizione dei tuoi dati sensibili?
**Protezione API**
Il servizio viene utilizzato AWS PrivateLink per proteggere le operazioni dell'API del servizio?
**Servizi di protezione**
Sono in atto i servizi di protezione corretti? Forniscono la giusta quantità di copertura?
I servizi di protezione consentono di deviare gli attacchi e i compromessi diretti al servizio. Esempi di servizi di protezione AWS includono AWS Control Tower,, AWS WAF, Vanta AWS Shield Advanced, Secrets Manager, IAM Access Analyzer e AWS Resource Access Manager.
**Sviluppo sicuro**
Si utilizzano pratiche di codifica sicure?
Si evitano vulnerabilità quali la Top Ten Open Web Application Security Project (OWASP)?
## Rilevamento
Sviluppare e implementare le attività appropriate per identificare il verificarsi di un evento di sicurezza informatica.
**Servizi di rilevamento**
Sono disponibili i servizi di rilevamento corretti?
Forniscono la giusta quantità di copertura?
Esempi di servizi di AWS rilevamento includono Amazon GuardDuty, AWS Security Hub CSPM, Amazon Inspector, Amazon Detective, CloudWatch Amazon AWS IoT Device Defender Alarms e. AWS Trusted Advisor
## Rispondi
Sviluppare e implementare le attività appropriate per intervenire in merito a un evento di sicurezza informatica rilevato.
**Azioni di risposta**
Rispondi rapidamente agli eventi di sicurezza?
Avete qualche risultato critico attivo o ad alta gravità?
**Informatica forense**
È possibile acquisire in modo sicuro i dati forensi per il servizio? Ad esempio, acquisisci istantanee di Amazon EBS associate a risultati realmente positivi?
Hai creato un account forense?
## Ripristino
Sviluppare e implementare le attività appropriate per mantenere piani di resilienza e ripristinare eventuali funzionalità o servizi compromessi a causa di un evento di sicurezza informatica.
**Resilienza**
La configurazione del servizio supporta failover agevoli, scalabilità elastica e disponibilità elevata?
Sono stati stabiliti dei backup?
# Revisione dei dettagli dei controlli in Security Hub CSPM
Selezionando un controllo nella pagina **Controlli** o nella pagina dei dettagli standard della console Security Hub CSPM si accede a una pagina con i dettagli del controllo.
La parte superiore della pagina dei dettagli del controllo indica lo stato del controllo. Lo stato del controllo riassume le prestazioni di un controllo in base allo stato di conformità dei risultati del controllo. Security Hub CSPM genera in genere lo stato di controllo iniziale entro 30 minuti dalla prima visita alla pagina di **riepilogo** o alla pagina **degli standard di sicurezza** sulla console CSPM di Security Hub. Gli stati sono disponibili solo per i controlli abilitati quando si visitano tali pagine.
La pagina dei dettagli del controllo fornisce anche un'analisi dello stato di conformità dei risultati del controllo nelle ultime 24 ore. Per ulteriori informazioni sullo stato del controllo e sullo stato di conformità, vedere[Valutazione dello stato di conformità e dello stato di controllo](controls-overall-status.md).
AWS Config la registrazione delle risorse deve essere configurata per visualizzare lo stato del controllo. Dopo la prima generazione degli stati di controllo, Security Hub CSPM aggiorna lo stato del controllo ogni 24 ore in base ai risultati delle 24 ore precedenti.
Gli account amministratore visualizzano uno stato di controllo aggregato tra l'account amministratore e gli account dei membri. Se hai impostato una regione di aggregazione, lo stato di controllo include i risultati in tutte le regioni collegate. Per ulteriori informazioni sullo stato del controllo, vedere[Valutazione dello stato di conformità e dello stato di controllo](controls-overall-status.md).
È inoltre possibile abilitare o disabilitare il controllo dalla pagina dei dettagli del controllo.
**Nota**
Possono essere necessarie fino a 24 ore dall'attivazione di un controllo per la generazione degli stati di controllo per la prima volta nelle regioni della Cina e. AWS GovCloud (US) Regions
La scheda **Standard e requisiti** elenca gli standard per i quali è possibile abilitare un controllo e i requisiti relativi al controllo da diversi quadri di conformità.
La scheda **Controlli** elenca i risultati attivi del controllo nelle ultime 24 ore. I risultati del controllo vengono generati e aggiornati quando Security Hub CSPM esegue i controlli di sicurezza per il controllo. L'elenco in questa scheda non include i risultati archiviati.
Per ogni risultato, l'elenco fornisce l'accesso ai dettagli della ricerca, come lo stato di conformità e le risorse correlate. È inoltre possibile impostare lo stato del flusso di lavoro di ogni risultato e inviare i risultati ad azioni personalizzate. Per ulteriori informazioni, consulta [Revisione e gestione dei risultati del controllo](securityhub-control-manage-findings.md).
## Visualizzazione dei dettagli di un controllo
Scegli il metodo di accesso preferito e segui questi passaggi per esaminare i dettagli di un controllo. I dettagli si applicano all'account corrente e alla regione e includono quanto segue:
+ Il titolo e la descrizione del controllo.
+ Un collegamento alle linee guida per la correzione dei risultati di un controllo fallito.
+ La severità del controllo.
+ Lo stato del controllo.
Sulla console, puoi anche visualizzare un elenco dei risultati recenti relativi al controllo. Per eseguire questa operazione a livello di codice, è possibile utilizzare il [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html)funzionamento dell'API CSPM Security Hub.
------
#### [ Security Hub CSPM console ]
1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Scegli **Controlli** nel pannello di navigazione.
1. Seleziona un controllo.
------
#### [ Security Hub CSPM API ]
1. Esegui `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)` e fornisci uno o più standard ARNs per ottenere un elenco di controlli IDs per quello standard. Per ottenere lo standard ARNs, esegui [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html). Se non fornisci un ARN standard, questa API restituisce tutto il controllo CSPM di Security Hub. IDs Questa API restituisce un controllo di sicurezza indipendente dagli standard IDs, non il controllo basato sugli standard esistente prima di queste versioni di funzionalità. IDs
**Richiesta di esempio:**
```
{
"StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0"
}
```
1. Esegui `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html)` per ottenere dettagli su uno o più controlli nella versione corrente Account AWS e Regione AWS.
**Richiesta di esempio:**
```
{
"SecurityControlIds": ["Config.1", "IAM.1"]
}
```
------
#### [ AWS CLI ]
1. Esegui il `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html)` comando e fornisci uno o più standard ARNs per ottenere un elenco di controlli IDs. Per ottenere lo standard ARNs, esegui il `describe-standards` comando. Se non si fornisce un ARN standard, questo comando restituisce tutto il controllo CSPM di Security Hub. IDs Questo comando restituisce un controllo di sicurezza indipendente dagli standard IDs, non il controllo basato sugli standard esistente prima di queste versioni di funzionalità. IDs
```
aws securityhub --region us-east-1 list-security-control-definitions --standards-arn "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"
```
1. Esegui il `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-get-security-controls.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-get-security-controls.html)` comando per ottenere dettagli su uno o più controlli nella versione corrente e. Account AWS Regione AWS
```
aws securityhub --region us-east-1 batch-get-security-controls --security-control-ids '["Config.1", "IAM.1"]'
```
------
# Controlli di filtraggio e ordinamento in Security Hub CSPM
Nella console AWS Security Hub CSPM, è possibile utilizzare la pagina **Controlli** per esaminare una tabella dei controlli disponibili nella versione corrente. Regione AWS L'eccezione è una regione di aggregazione. Se hai [configurato una regione di aggregazione](finding-aggregation.md) e accedi a tale regione, la console mostra i controlli disponibili nella regione di aggregazione o in una o più regioni collegate.
Per concentrarti su un sottoinsieme specifico di controlli, puoi ordinare e filtrare la tabella dei controlli. Le opzioni **Filtra** per accanto alla tabella possono aiutarti a concentrarti rapidamente su questi sottoinsiemi specifici:
+ Tutti i controlli abilitati, ossia i controlli abilitati in almeno uno standard abilitato.
+ Tutti i controlli disabilitati, ovvero i controlli disabilitati in tutti gli standard.
+ Tutti i controlli abilitati con uno stato di controllo specifico, ad esempio **Non riuscito**. L'opzione **Nessun dato** visualizza solo i controlli per i quali attualmente non sono presenti risultati. Per informazioni sullo stato del controllo, vedere[Valutazione dello stato di conformità e dello stato di controllo](controls-overall-status.md).
Oltre alle opzioni **Filtra** per, è possibile filtrare la tabella inserendo i criteri di **filtro nella casella di controllo Filtra** sopra la tabella. Ad esempio, è possibile filtrare per ID di controllo o gravità.
Per impostazione predefinita, i controlli con stato **Non riuscito** vengono elencati per primi, in ordine decrescente per gravità. È possibile modificare l'ordinamento scegliendo un'intestazione di colonna diversa.
**Suggerimento**
Se disponi di flussi di lavoro automatizzati basati sui risultati del controllo, ti consigliamo di utilizzare i [campi `SecurityControlId` o `SecurityControlArn` ASFF](securityhub-findings-format.md) come filtri, anziché i campi `Title` or`Description`. Questi ultimi campi possono cambiare occasionalmente, mentre l'ID di controllo e l'ARN sono identificatori statici.
Se hai effettuato l'accesso a un account amministratore CSPM di Security Hub, i controlli **abilitati** includono i controlli abilitati in almeno un account membro. Se hai configurato una regione di aggregazione, i controlli **abilitati** includono controlli abilitati in almeno una regione collegata.
Se si seleziona l'opzione accanto a un controllo abilitato, viene visualizzato un pannello che mostra gli standard in cui il controllo è attualmente abilitato. È inoltre possibile visualizzare gli standard in cui il controllo è attualmente disabilitato. Da questo pannello è possibile disabilitare un controllo in tutti gli standard. Per ulteriori informazioni, consulta [Disabilitazione dei controlli in Security Hub CSPM](disable-controls-overview.md). Per gli account amministratore, le informazioni nel pannello riflettono le impostazioni di tutti gli account membro.
Per recuperare un elenco di controlli a livello di codice, è possibile utilizzare il [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)funzionamento dell'API CSPM Security Hub. Per recuperare i dettagli dei singoli controlli, usa l'operazione. [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html)
# Comprensione dei parametri di controllo in Security Hub CSPM
Alcuni controlli in AWS Security Hub CSPM utilizzano parametri che influiscono sul modo in cui il controllo viene valutato. In genere, tali controlli vengono valutati in base ai valori dei parametri predefiniti definiti da Security Hub CSPM. Tuttavia, per un sottoinsieme di questi controlli, è possibile modificare i valori dei parametri. Quando si modifica il valore di un parametro di controllo, Security Hub CSPM inizia a valutare il controllo rispetto al valore specificato. Se la risorsa alla base del controllo soddisfa il valore personalizzato, Security Hub CSPM genera un risultato. `PASSED` Se la risorsa non soddisfa il valore personalizzato, Security Hub CSPM genera un `FAILED` risultato.
Personalizzando i parametri di controllo, è possibile affinare le best practice di sicurezza consigliate e monitorate da Security Hub CSPM per allinearle ai requisiti aziendali e alle aspettative di sicurezza. Invece di sopprimere i risultati di un controllo, è possibile personalizzare uno o più dei relativi parametri per ottenere risultati adatti alle proprie esigenze di sicurezza.
Ecco alcuni esempi di casi d'uso per modificare i parametri di controllo e impostare valori personalizzati:
+ **[CloudWatch.16] — i gruppi di CloudWatch log devono essere conservati per un periodo di tempo specificato**
È possibile specificare il periodo di conservazione.
+ **[IAM.7] — Le policy relative alle password per gli utenti IAM devono avere configurazioni solide**
È possibile specificare parametri relativi alla complessità della password.
+ **[EC2.18] — I gruppi di sicurezza devono consentire il traffico in entrata senza restrizioni solo per le porte autorizzate**
È possibile specificare quali porte sono autorizzate a consentire il traffico in entrata senza restrizioni.
+ **[Lambda.5] — Le funzioni VPC Lambda devono funzionare in più zone di disponibilità**
È possibile specificare il numero minimo di zone di disponibilità che generano un risultato superato.
Questa sezione descrive gli aspetti da considerare quando si modificano i parametri di controllo.
## Effetto della modifica dei valori dei parametri di controllo
Quando modificate il valore di un parametro, attivate anche un nuovo controllo di sicurezza che valuta il controllo in base al nuovo valore. Security Hub CSPM genera quindi nuovi risultati di controllo in base al nuovo valore. Durante gli aggiornamenti periodici per controllare i risultati, Security Hub CSPM utilizza anche il nuovo valore del parametro. Se modifichi i valori dei parametri per un controllo, ma non hai abilitato nessuno standard che includa il controllo, Security Hub CSPM non esegue alcun controllo di sicurezza utilizzando i nuovi valori. È necessario abilitare almeno uno standard pertinente affinché Security Hub CSPM valuti il controllo in base al nuovo valore del parametro.
Un controllo può avere uno o più parametri personalizzabili. I tipi di dati possibili per ogni parametro di controllo includono:
+ Booleano
+ Double
+ Enum
+ EnumList
+ Numero intero
+ IntegerList
+ Stringa
+ StringList
I valori dei parametri personalizzati si applicano a tutti gli standard abilitati. Non puoi personalizzare i parametri per un controllo che non è supportato nella tua regione attuale. Per un elenco dei limiti regionali per i singoli controlli, consulta[Limiti regionali sui controlli CSPM di Security Hub](regions-controls.md).
Per alcuni controlli, i valori dei parametri accettabili devono rientrare in un intervallo specificato per essere validi. In questi casi, Security Hub CSPM fornisce l'intervallo accettabile.
Security Hub CSPM sceglie i valori dei parametri predefiniti e potrebbe occasionalmente aggiornarli. Dopo aver personalizzato un parametro di controllo, il suo valore continua a essere il valore specificato per il parametro, a meno che non venga modificato. Vale a dire, il parametro interrompe il tracciamento degli aggiornamenti al valore CSPM predefinito di Security Hub, anche se il valore personalizzato del parametro corrisponde al valore predefinito corrente definito da Security Hub CSPM. Ecco un esempio del controllo **[ACM.1]: i certificati importati ed emessi da ACM devono essere** rinnovati dopo un periodo di tempo specificato:
```
{
"SecurityControlId": "ACM.1",
"Parameters": {
"daysToExpiration": {
"ValueType": "CUSTOM",
"Value": {
"Integer": 30
}
}
}
}
```
Nell'esempio precedente, il `daysToExpiration` parametro ha un valore personalizzato di. `30` Inoltre, il valore predefinito corrente per questo parametro è`30`. Se Security Hub CSPM modifica il valore predefinito in`14`, il parametro in questo esempio non terrà traccia di tale modifica. Manterrà il valore di. `30`
Se desideri tenere traccia degli aggiornamenti al valore CSPM predefinito di Security Hub per un parametro, imposta il `ValueType` campo su `DEFAULT` invece di. `CUSTOM` Per ulteriori informazioni, consulta [Ripristino dei parametri di controllo predefiniti in un unico account e regione](revert-default-parameter-values.md#revert-default-parameter-values-local-config).
## Controlli che supportano parametri personalizzati
Per un elenco dei controlli di sicurezza che supportano i parametri personalizzati, vedere la pagina **Controlli** della console CSPM di Security Hub o il. [Riferimento di controllo per Security Hub CSPM](securityhub-controls-reference.md) Per recuperare questo elenco a livello di codice, è possibile utilizzare l'operazione. [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html) Nella risposta, l'`CustomizableProperties`oggetto indica quali controlli supportano parametri personalizzabili.
# Revisione dei valori correnti dei parametri di controllo
Può essere utile conoscere il valore corrente di un parametro di controllo prima di modificarlo.
Puoi rivedere i valori correnti per i singoli parametri di controllo nel tuo account. Se si utilizza la configurazione centrale, l'amministratore delegato di AWS Security Hub CSPM può anche esaminare i valori dei parametri specificati in una politica di configurazione.
Scegliete il metodo preferito e seguite i passaggi per rivedere i valori correnti dei parametri di controllo.
------
#### [ Security Hub CSPM console ]
**Per rivedere i valori correnti dei parametri di controllo (console)**
1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. **Nel riquadro di navigazione, scegli Controlli.** Scegli un controllo.
1. Scegli la scheda **Parametri**. Questa scheda mostra i valori correnti dei parametri per il controllo.
------
#### [ Security Hub CSPM API ]
**Per rivedere i valori correnti dei parametri di controllo (API)**
Richiama l'[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchGetSecurityControls.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchGetSecurityControls.html)API e fornisci uno o più controlli di sicurezza IDs oppure ARNs. L'`Parameters`oggetto nella risposta mostra i valori correnti dei parametri per i controlli specificati.
Ad esempio, il AWS CLI comando seguente mostra i valori correnti dei parametri per `APIGatway.1``CloudWatch.15`, e`IAM.7`. Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\$1) per migliorare la leggibilità.
```
$ aws securityhub batch-get-security-controls \
--region us-east-1 \
--security-control-ids '["APIGateway.1", "CloudWatch.15", "IAM.7"]'
```
------
Scegliete il metodo preferito per visualizzare i valori correnti dei parametri in una politica di configurazione centrale.
------
#### [ Security Hub CSPM console ]
**Per esaminare i valori correnti dei parametri di controllo in una politica di configurazione (console)**
1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
Accedi utilizzando le credenziali dell'account amministratore CSPM di Security Hub delegato nella regione di residenza.
1. ****Nel riquadro di navigazione, scegli Impostazioni e configurazione.****
1. Nella scheda **Politiche**, seleziona la politica di configurazione, quindi scegli **Visualizza dettagli**. Vengono quindi visualizzati i dettagli della politica, inclusi i valori dei parametri correnti.
------
#### [ Security Hub CSPM API ]
**Per esaminare i valori correnti dei parametri di controllo in una politica di configurazione (API)**
1. Richiama l'[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetConfigurationPolicy.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetConfigurationPolicy.html)API dall'account amministratore delegato nella regione d'origine.
1. Fornisci l'ARN o l'ID della politica di configurazione di cui desideri visualizzare i dettagli. La risposta include i valori dei parametri correnti.
Ad esempio, il AWS CLI comando seguente recupera i valori dei parametri di controllo correnti nella politica di configurazione specificata. Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\$1) per migliorare la leggibilità.
```
$ aws securityhub get-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```
------
I risultati del controllo includono anche i valori correnti dei parametri di controllo. In[AWS Formato ASFF (Security Finding Format)](securityhub-findings-format.md), questi valori vengono visualizzati nel `Parameters` campo dell'`Compliance`oggetto. Per esaminare i risultati sulla console CSPM di Security Hub, scegli **Findings** nel riquadro di navigazione. Per esaminare i risultati a livello di codice, utilizzate il [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetFindings.html)funzionamento dell'API CSPM Security Hub.
# Personalizzazione dei valori dei parametri di controllo
Le istruzioni per personalizzare i parametri di controllo variano a seconda che si utilizzi o meno la [configurazione centrale](central-configuration-intro.md) in AWS Security Hub CSPM. La configurazione centrale è una funzionalità che l'amministratore delegato di Security Hub CSPM può utilizzare per configurare le funzionalità CSPM di Security Hub tra account e unità Regioni AWS organizzative (). OUs
Se l'organizzazione utilizza la configurazione centrale, l'amministratore delegato può creare politiche di configurazione che includono parametri di controllo personalizzati. Queste politiche possono essere associate ad account membri gestiti OUs centralmente e hanno effetto nella regione di origine e in tutte le regioni collegate. L'amministratore delegato può anche designare uno o più account come autogestiti, il che consente al proprietario dell'account di configurare i propri parametri separatamente in ciascuna regione. Se l'organizzazione non utilizza la configurazione centrale, è necessario personalizzare i parametri di controllo separatamente in ogni account e regione.
Ti consigliamo di utilizzare la configurazione centrale perché consente di allineare i valori dei parametri di controllo tra le diverse parti dell'organizzazione. Ad esempio, tutti gli account di test potrebbero utilizzare determinati valori di parametro e tutti gli account di produzione potrebbero utilizzare valori diversi.
## Personalizzazione dei parametri di controllo in più account e regioni
Se sei l'amministratore delegato di Security Hub CSPM di un'organizzazione che utilizza la configurazione centrale, scegli il metodo preferito e segui i passaggi per personalizzare i parametri di controllo su più account e regioni.
------
#### [ Security Hub CSPM console ]
**Per personalizzare i valori dei parametri di controllo in più account e regioni (console)**
1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
Assicurati di aver effettuato l'accesso alla regione d'origine.
1. Nel riquadro di navigazione, scegli **Impostazioni** e **configurazione**.
1. Scegliere la scheda **Policy**.
1. Per creare una nuova politica di configurazione che includa parametri personalizzati, scegli **Crea politica**. Per specificare parametri personalizzati in una politica di configurazione esistente, seleziona la politica, quindi scegli **Modifica**.
**Per creare una nuova politica di configurazione con valori dei parametri di controllo personalizzati**
1. Nella sezione **Politica personalizzata**, scegli gli standard e i controlli di sicurezza che desideri abilitare.
1. Seleziona **Personalizza i parametri di controllo**.
1. Seleziona un controllo, quindi specifica i valori personalizzati per uno o più parametri.
1. Per personalizzare i parametri per più controlli, scegli **Personalizza controllo aggiuntivo**.
1. Nella sezione **Account**, seleziona gli account o a OUs cui desideri applicare la politica.
1. Scegli **Next (Successivo)**.
1. Scegli **Crea politica e applicala**. Nella tua regione d'origine e in tutte le regioni collegate, questa azione sostituisce le impostazioni di configurazione esistenti degli account e OUs che sono associate a questa politica di configurazione. Account e OUs possono essere associati a una politica di configurazione tramite applicazione diretta o eredità da un genitore.
**Per personalizzare i valori dei parametri di controllo in una politica di configurazione esistente**
1. Nella sezione **Controlli**, in **Criteri personalizzati**, specificate i nuovi valori dei parametri personalizzati che desiderate.
1. Se è la prima volta che personalizzi i parametri di controllo in questa politica, seleziona **Personalizza parametri di controllo**, quindi seleziona un controllo da personalizzare. Per personalizzare i parametri per ulteriori controlli, scegli **Personalizza controllo aggiuntivo**.
1. Nella sezione **Account**, verifica gli account o a OUs cui desideri applicare la politica.
1. Scegli **Next (Successivo)**.
1. Rivedi le modifiche e verifica che siano corrette. Al termine, scegli **Salva politica e applica**. Nella tua regione d'origine e in tutte le regioni collegate, questa azione sostituisce le impostazioni di configurazione esistenti degli account e OUs che sono associate a questa politica di configurazione. Account e OUs possono essere associati a una politica di configurazione tramite applicazione diretta o eredità da un genitore.
------
#### [ Security Hub CSPM API ]
**Per personalizzare i valori dei parametri di controllo in più account e regioni (API)**
**Per creare una nuova politica di configurazione con valori dei parametri di controllo personalizzati**
1. Richiama l'[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html)API dall'account amministratore delegato nella regione di residenza.
1. Per l'`SecurityControlCustomParameters`oggetto, fornite l'identificatore di ogni controllo che desiderate personalizzare.
1. Per l'`Parameters`oggetto, fornite il nome di ogni parametro che desiderate personalizzare. Per ogni parametro che personalizzi, fornisci `CUSTOM``ValueType`. Per`Value`, fornisci il tipo di dati del parametro e il valore personalizzato. Il `Value` campo non può essere vuoto quando lo `ValueType` è`CUSTOM`. Se la richiesta omette un parametro supportato dal controllo, tale parametro mantiene il valore corrente. Puoi trovare parametri, tipi di dati e valori validi supportati per un controllo richiamando l'API. [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html)
**Per personalizzare i valori dei parametri di controllo in una politica di configurazione esistente**
1. Richiama l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html)API dall'account amministratore delegato nella regione di residenza.
1. Per il `Identifier` campo, fornisci l'Amazon Resource Name (ARN) o l'ID della policy di configurazione che desideri aggiornare.
1. Per l'`SecurityControlCustomParameters`oggetto, fornisci l'identificatore di ogni controllo che desideri personalizzare.
1. Per l'`Parameters`oggetto, fornite il nome di ogni parametro che desiderate personalizzare. Per ogni parametro che personalizzi, fornisci `CUSTOM``ValueType`. Per`Value`, fornisci il tipo di dati del parametro e il valore personalizzato. Se la richiesta omette un parametro supportato dal controllo, tale parametro mantiene il valore corrente. Puoi trovare parametri, tipi di dati e valori validi supportati per un controllo richiamando l'API. [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html)
Ad esempio, il AWS CLI comando seguente crea una nuova politica di configurazione con un valore personalizzato per il `daysToExpiration` parametro di`ACM.1`. Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\$1) per migliorare la leggibilità.
```
$ aws securityhub create-configuration-policy \
--region us-east-1 \
--name "SampleConfigurationPolicy" \
--description "Configuration policy for production accounts" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": "Integer": 15}}}]}}}'
```
------
## Personalizzazione dei parametri di controllo in un unico account e regione
Se non utilizzi la configurazione centrale o disponi di un account autogestito, puoi personalizzare i parametri di controllo per il tuo account solo in una regione alla volta.
Scegli il tuo metodo preferito e segui i passaggi per personalizzare i parametri di controllo. Le modifiche si applicano solo al tuo account nella regione corrente. Per personalizzare i parametri di controllo in altre regioni, ripeti i passaggi seguenti in ogni account e regione aggiuntivi in cui desideri personalizzare i parametri. Lo stesso controllo può utilizzare valori di parametri diversi in regioni diverse.
------
#### [ Security Hub CSPM console ]
**Per personalizzare i valori dei parametri di controllo in un account e in una regione (console)**
1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. **Nel riquadro di navigazione, scegli Controlli.** Nella tabella, scegli un controllo che supporti i parametri personalizzati per cui desideri modificare i parametri. La colonna **Parametri personalizzati** indica quali controlli supportano i parametri personalizzati.
1. Nella pagina dei dettagli del controllo, scegli la scheda **Parametri**, quindi scegli **Modifica**.
1. Specificate i valori dei parametri che desiderate.
1. Facoltativamente, nella sezione **Motivo della modifica**, selezionare un motivo per la personalizzazione dei parametri.
1. Scegli **Save** (Salva).
------
#### [ Security Hub CSPM API ]
**Per personalizzare i valori dei parametri di controllo in un account e in un'unica regione (API)**
1. Invoca l'[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateSecurityControl.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateSecurityControl.html)API.
1. Per`SecurityControlId`, fornisci l'ID del controllo che desideri personalizzare.
1. Per l'`Parameters`oggetto, fornite il nome di ogni parametro che desiderate personalizzare. Per ogni parametro che personalizzi, fornisci `CUSTOM``ValueType`. Per`Value`, fornisci il tipo di dati del parametro e il valore personalizzato. Se la richiesta omette un parametro supportato dal controllo, tale parametro mantiene il valore corrente. Puoi trovare parametri, tipi di dati e valori validi supportati per un controllo richiamando l'API. [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html)
1. Facoltativamente`LastUpdateReason`, fornisci un motivo per personalizzare i parametri di controllo.
Ad esempio, il AWS CLI comando seguente definisce un valore personalizzato per il `daysToExpiration` parametro di. `ACM.1` Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\$1) per migliorare la leggibilità.
```
$ aws securityhub update-security-control \
--region us-east-1 \
--security-control-id ACM.1 \
--parameters '{"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}' \
--last-update-reason "Internal compliance requirement"
```
------
# Ripristino dei valori dei parametri di controllo predefiniti
Un parametro di controllo può avere un valore predefinito definito da AWS Security Hub CSPM. Occasionalmente, Security Hub CSPM aggiorna il valore predefinito di un parametro per riflettere le best practice di sicurezza in evoluzione. Se non è stato specificato un valore personalizzato per un parametro di controllo, il controllo tiene traccia automaticamente di tali aggiornamenti e utilizza il nuovo valore predefinito.
È possibile tornare a utilizzare i valori dei parametri predefiniti per un controllo. Le istruzioni per la reversione dipendono dall'utilizzo o meno della [configurazione centrale](central-configuration-intro.md) in Security Hub CSPM. La configurazione centrale è una funzionalità che l'amministratore delegato di Security Hub CSPM può utilizzare per configurare le funzionalità CSPM di Security Hub tra account e unità Regioni AWS organizzative (). OUs
**Nota**
Non tutti i parametri di controllo hanno un valore CSPM di Security Hub predefinito. In questi casi, quando `ValueType` è impostato su`DEFAULT`, non esiste un valore predefinito specifico utilizzato da Security Hub CSPM. Piuttosto, Security Hub CSPM ignora il parametro in assenza di un valore personalizzato.
## Ripristino dei parametri di controllo predefiniti in più account e regioni
Se utilizzi la configurazione centrale, puoi ripristinare i parametri di controllo per più account gestiti centralmente, nella regione di origine e OUs nelle regioni collegate.
Scegli il tuo metodo preferito e segui i passaggi per ripristinare i valori dei parametri predefiniti su più account e regioni utilizzando la configurazione centrale.
------
#### [ Security Hub CSPM console ]
**Per ripristinare i valori dei parametri di controllo predefiniti in più account e regioni (console)**
1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
Accedi utilizzando le credenziali dell'account amministratore CSPM di Security Hub delegato nella regione di residenza.
1. ****Nel riquadro di navigazione, scegli Impostazioni e configurazione.****
1. Scegliere la scheda **Policy**.
1. Seleziona una politica, quindi scegli **Modifica**.
1. In **Criteri personalizzati**, la sezione **Controlli** mostra un elenco di controlli per i quali sono stati specificati parametri personalizzati.
1. Trova il controllo che ha uno o più valori di parametro da ripristinare. Quindi, scegli **Rimuovi** per ripristinare i valori predefiniti.
1. Nella sezione **Account**, verifica gli account o a OUs cui desideri applicare la politica.
1. Scegli **Next (Successivo)**.
1. Rivedi le modifiche e verifica che siano corrette. Al termine, scegli **Salva politica e applica**. Nella tua regione d'origine e in tutte le regioni collegate, questa azione sostituisce le impostazioni di configurazione esistenti degli account e OUs che sono associate a questa politica di configurazione. Account e OUs possono essere associati a una politica di configurazione tramite applicazione diretta o eredità da un genitore.
------
#### [ Security Hub CSPM API ]
**Per ripristinare i valori dei parametri di controllo predefiniti in più account e regioni (API)**
1. Richiama l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html)API dall'account amministratore delegato nella regione d'origine.
1. Per il `Identifier` campo, fornisci l'Amazon Resource Name (ARN) o l'ID della policy che desideri aggiornare.
1. Per l'`SecurityControlCustomParameters`oggetto, fornisci l'identificatore di ogni controllo per il quale desideri ripristinare uno o più parametri.
1. Nell'`Parameters`oggetto, per ogni parametro che desideri ripristinare, inserisci `DEFAULT` il campo. `ValueType` Quando `ValueType` è impostato su`DEFAULT`, non è necessario fornire un valore per il `Value` campo. Se nella richiesta è incluso un valore, Security Hub CSPM lo ignora. Se la richiesta omette un parametro supportato dal controllo, tale parametro mantiene il valore corrente.
**avvertimento**
Se si omette un oggetto di controllo dal `SecurityControlCustomParameters` campo, Security Hub CSPM ripristina tutti i parametri personalizzati per il controllo ai valori predefiniti. Un elenco completamente vuoto riporta i parametri `SecurityControlCustomParameters` personalizzati per tutti i controlli ai valori predefiniti.
Ad esempio, il AWS CLI comando seguente riporta il parametro `daysToExpiration` control `ACM.1` al valore predefinito nella politica di configurazione specificata. Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\$1) per migliorare la leggibilità.
```
$ aws securityhub create-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--name "TestConfigurationPolicy" \
--description "Updated configuration policy" \
--updated-reason "Revert ACM.1 parameter to default value"
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "DEFAULT"}}}]}}}'
```
------
## Ripristino dei parametri di controllo predefiniti in un unico account e regione
Se non utilizzi la configurazione centrale o disponi di un account autogestito, puoi tornare a utilizzare i valori dei parametri predefiniti per il tuo account in una regione alla volta.
Scegli il tuo metodo preferito e segui i passaggi per ripristinare i valori dei parametri predefiniti per il tuo account in una singola regione. Per ripristinare i valori dei parametri predefiniti in altre regioni, ripeti questi passaggi in ogni regione aggiuntiva.
**Nota**
Se disabiliti Security Hub CSPM, i parametri di controllo personalizzati vengono ripristinati. Se abiliti nuovamente Security Hub CSPM in futuro, tutti i controlli utilizzeranno i valori dei parametri predefiniti per l'avvio.
------
#### [ Security Hub CSPM console ]
**Per ripristinare i valori dei parametri di controllo predefiniti in un account e in una regione (console)**
1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. **Nel riquadro di navigazione, scegli Controlli.** Scegliete il controllo per il quale desiderate ripristinare i valori dei parametri predefiniti.
1. Nella `Parameters` scheda, scegli **Personalizzato** accanto a un parametro di controllo. Quindi, scegli **Rimuovi personalizzazione.** Questo parametro ora utilizza il valore CSPM predefinito di Security Hub e tiene traccia degli aggiornamenti futuri al valore predefinito.
1. Ripetere il passaggio precedente per ogni valore di parametro che si desidera ripristinare.
------
#### [ Security Hub CSPM API ]
**Per ripristinare i valori dei parametri di controllo predefiniti in un account e in un'unica regione (API)**
1. Invoca l'API. [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateSecurityControl.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateSecurityControl.html)
1. Per`SecurityControlId`, fornisci l'ARN o l'ID del controllo di cui desideri ripristinare i parametri.
1. Nell'`Parameters`oggetto, per ogni parametro che desideri ripristinare, inserisci `DEFAULT` il campo. `ValueType` Quando `ValueType` è impostato su`DEFAULT`, non è necessario fornire un valore per il `Value` campo. Se nella richiesta è incluso un valore, Security Hub CSPM lo ignora.
1. Facoltativamente`LastUpdateReason`, fornisci un motivo per ripristinare i valori dei parametri predefiniti.
Ad esempio, il AWS CLI comando seguente ripristina il valore predefinito del parametro `daysToExpiration` control for`ACM.1`. Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\$1) per migliorare la leggibilità.
```
$ aws securityhub update-security-control \
--region us-east-1 \
--security-control-id ACM.1 \
--parameters '{"daysToExpiration": {"ValueType": "DEFAULT"}}' \
--last-update-reason "New internal requirement"
```
------
# Verifica dello stato delle modifiche ai parametri di controllo
Quando si tenta di personalizzare un parametro di controllo o di ripristinare il valore predefinito, è possibile verificare se le modifiche desiderate sono state efficaci. Questo aiuta a garantire che un controllo funzioni come previsto e fornisca il valore di sicurezza previsto. Se l'aggiornamento di un parametro non riesce, Security Hub CSPM mantiene il valore corrente del parametro.
Per verificare che l'aggiornamento di un parametro sia andato a buon fine, puoi esaminare i dettagli del controllo sulla console CSPM di Security Hub. Sulla console, scegli **Controlli** nel pannello di navigazione. Quindi, scegli un controllo per visualizzarne i dettagli. La scheda **Parametri** mostra lo stato della modifica del parametro.
A livello di programmazione, se la richiesta di aggiornamento di un parametro è valida, il valore del `UpdateStatus` campo è `UPDATING` in risposta all'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html)operazione. Ciò significa che l'aggiornamento era valido, ma tutti i risultati potrebbero non includere ancora i valori dei parametri aggiornati. Quando il valore di `UpdateState` cambia in`READY`, Security Hub CSPM utilizza i valori dei parametri di controllo aggiornati durante l'esecuzione dei controlli di sicurezza del controllo. I risultati includono i valori dei parametri aggiornati.
L'`UpdateSecurityControl`operazione restituisce una `InvalidInputException` risposta per i valori dei parametri non validi. La risposta fornisce ulteriori dettagli sul motivo dell'errore. Ad esempio, è possibile che abbiate specificato un valore che non rientra nell'intervallo valido per un parametro. In alternativa, potresti aver specificato un valore che non utilizza il tipo di dati corretto. Invia nuovamente la richiesta con un input valido.
Se si verifica un errore interno quando si tenta di aggiornare il valore di un parametro, Security Hub CSPM riprova automaticamente se è stato abilitato. AWS Config Per ulteriori informazioni, consulta [Considerazioni prima dell'attivazione e della configurazione AWS Config](securityhub-setup-prereqs.md#securityhub-prereq-config).
# Revisione e gestione dei risultati di controllo in Security Hub CSPM
La pagina dei dettagli del controllo mostra un elenco di risultati attivi per un controllo. L'elenco non include i risultati archiviati.
La pagina dei dettagli del controllo supporta l'aggregazione tra regioni. Se è stata impostata una regione di aggregazione, lo stato del controllo e l'elenco dei controlli di sicurezza nella pagina dei dettagli del controllo includono i controlli provenienti da tutti i collegamenti. Regioni AWS
L'elenco fornisce strumenti per filtrare e ordinare i risultati, in modo che tu possa concentrarti prima sui risultati più urgenti. Una scoperta può includere collegamenti ai dettagli delle risorse nella relativa console di servizio. Per i controlli basati su AWS Config regole, è possibile visualizzare i dettagli sulla regola.
Puoi anche utilizzare l'API CSPM AWS di Security Hub per recuperare un elenco di risultati e dettagli delle scoperte.
Per ulteriori informazioni, consulta [Revisione dei dettagli e della cronologia dei risultati](securityhub-findings-viewing.md#finding-view-details-console).
Per riflettere lo stato attuale dell'indagine su un risultato di controllo, imposti lo stato del flusso di lavoro. Per ulteriori informazioni, consulta [Impostazione dello stato del flusso di lavoro dei risultati in Security Hub CSPM](findings-workflow-status.md).
Puoi anche inviare alcuni risultati CSPM di Security Hub a un'azione personalizzata in Amazon. EventBridge Per ulteriori informazioni, consulta [Invio dei risultati a un'azione CSPM personalizzata di Security Hub](findings-custom-action.md).
**Topics**
+ [Filtraggio e ordinamento dei risultati del controllo](control-finding-list.md)
+ [Esempi di risultati di controllo](sample-control-findings.md)
# Filtraggio e ordinamento dei risultati del controllo
La selezione di un controllo dalla pagina **Controlli** della console AWS Security Hub CSPM o dalla pagina dei dettagli di uno standard porta alla pagina dei dettagli del controllo.
La pagina dei dettagli del controllo mostra il titolo e la descrizione del controllo, lo stato generale del controllo e un'analisi dettagliata dei controlli di sicurezza per il controllo nelle ultime 24 ore.
Utilizza le opzioni **Filtra** per accanto all'elenco dei controlli di controllo per concentrarti rapidamente sui risultati con uno stato del [flusso di lavoro o uno stato](findings-workflow-status.md) di [conformità](controls-overall-status.md#controls-overall-status-compliance-status) specifici.
Oltre alle opzioni **Filtra per**, puoi utilizzare la casella **Aggiungi filtro** per filtrare l'elenco dei controlli in base ad altri campi, come Account AWS ID o ID risorsa.
Per impostazione predefinita, i risultati con uno stato di conformità **PASSES** vengono elencati per primi. È possibile modificare l'ordinamento predefinito scegliendo un'opzione diversa nelle intestazioni delle colonne.
Dalla pagina dei dettagli del controllo, puoi scegliere **Scarica per scaricare** la pagina corrente dei risultati del controllo in un file.csv.
Se filtri l'elenco dei risultati, il download include solo i controlli che corrispondono al filtro. Se si selezionano risultati specifici dall'elenco, il download include solo i risultati selezionati.
Per ulteriori informazioni sul filtraggio dei risultati, consulta[Filtraggio dei risultati in Security Hub CSPM](securityhub-findings-manage.md).
# Esempi di risultati di controllo
Gli esempi seguenti forniscono esempi di risultati del controllo CSPM di AWS Security Hub nel AWS Security Finding Format (ASFF). Il contenuto dei risultati di controllo varia a seconda che siano stati abilitati o meno i risultati di controllo consolidati.
Se abiliti i risultati del controllo consolidato, Security Hub CSPM genera un singolo risultato per un controllo, anche se il controllo si applica a più standard abilitati. Se non abiliti questa funzionalità, Security Hub CSPM genera un risultato di controllo separato per ogni standard abilitato a cui si applica un controllo. Ad esempio, se si abilitano due standard e un controllo si applica a entrambi, si ottengono due risultati distinti per il controllo, uno per ogni standard. Se si abilitano i risultati del controllo consolidato, si riceve un solo risultato per il controllo. Per ulteriori informazioni, consulta [Risultati di controllo consolidati](controls-findings-create-update.md#consolidated-control-findings).
Gli esempi in questa pagina forniscono esempi per entrambi gli scenari. Gli esempi includono: risultati di controllo per i singoli standard CSPM di Security Hub quando i risultati del controllo consolidato sono disabilitati e risultati di controllo per più standard CSPM di Security Hub quando i risultati del controllo consolidato sono abilitati.
**Topics**
+ [Esempi di risultati relativi allo standard AWS Foundational Security Best Practices](#sample-finding-fsbp)
+ [Risultati di esempio per CIS AWS Foundations Benchmark v5.0.0](#sample-finding-cis-5)
+ [Risultati di esempio per CIS AWS Foundations Benchmark v3.0.0](#sample-finding-cis-3)
+ [Risultati di esempio per CIS AWS Foundations Benchmark v1.4.0](#sample-finding-cis-1.4)
+ [Risultati di esempio per CIS AWS Foundations Benchmark v1.2.0](#sample-finding-cis-1.2)
+ [Risultati di esempio per lo standard NIST SP 800-53 Revisione 5](#sample-finding-nist-800-53)
+ [Esempio di risultato per lo standard NIST SP 800-171 Revisione 2](#sample-finding-nist-800-171)
+ [Esempio di risultato relativo allo standard di sicurezza dei dati del settore delle carte di pagamento v3.2.1](#sample-finding-pcidss-v321)
+ [Esempio di risultato per lo standard AWS Resource Tagging](#sample-finding-tagging)
+ [Esempio di risultato per lo standard gestito dai AWS Control Tower servizi](#sample-finding-service-managed-aws-control-tower)
+ [Esempio di risultato consolidato per più standard](#sample-finding-consolidation)
**Nota**
I risultati del controllo fanno riferimento a campi e valori diversi nelle regioni e nelle AWS GovCloud (US) regioni della Cina. Per ulteriori informazioni, consulta [Impatto del consolidamento sui campi e sui valori ASFF](asff-changes-consolidation.md).
## Esempi di risultati relativi allo standard AWS Foundational Security Best Practices
L'esempio seguente fornisce un esempio di risultato relativo a un controllo che si applica allo standard AWS Foundational Security Best Practices (FSBP). In questo esempio, i risultati del controllo consolidato sono disabilitati.
```
{
"SchemaVersion": "2018-10-08",
"Id": "arn:aws:securityhub:us-east-2:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"ProductArn": "arn:aws:securityhub:us-east-2::product/aws/securityhub",
"ProductName": "Security Hub CSPM",
"CompanyName": "AWS",
"Region": "us-east-2",
"GeneratorId": "aws-foundational-security-best-practices/v/1.0.0/CloudTrail.2",
"AwsAccountId": "123456789012",
"Types": [
"Software and Configuration Checks/Industry and Regulatory Standards/AWS-Foundational-Security-Best-Practices"
],
"FirstObservedAt": "2020-08-06T02:18:23.076Z",
"LastObservedAt": "2021-09-28T16:10:06.956Z",
"CreatedAt": "2020-08-06T02:18:23.076Z",
"UpdatedAt": "2021-09-28T16:10:00.093Z",
"Severity": {
"Product": 40,
"Label": "MEDIUM",
"Normalized": 40,
"Original": "MEDIUM"
},
"Title": "CloudTrail.2 CloudTrail should have encryption at-rest enabled",
"Description": "This AWS control checks whether AWS CloudTrail is configured to use the server side encryption (SSE) AWS Key Management Service (AWS KMS) customer master key (CMK) encryption. The check will pass if the KmsKeyId is defined.",
"Remediation": {
"Recommendation": {
"Text": "For directions on how to correct this issue, consult the AWS Security Hub CSPM controls documentation.",
"Url": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation"
}
},
"ProductFields": {
"StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0",
"StandardsSubscriptionArn": "arn:aws:securityhub:us-east-2:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0",
"ControlId": "CloudTrail.2",
"RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation",
"Related AWS Resources:0/name": "securityhub-cloud-trail-encryption-enabled-fe95bf3f",
"Related AWS Resources:0/type": "AWS::Config::ConfigRule",
"StandardsControlArn": "arn:aws:securityhub:us-east-2:123456789012:control/aws-foundational-security-best-practices/v/1.0.0/CloudTrail.2",
"aws/securityhub/ProductName": "Security Hub CSPM",
"aws/securityhub/CompanyName": "AWS",
"Resources:0/Id": "arn:aws:cloudtrail:us-east-2:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",
"aws/securityhub/FindingId": "arn:aws:securityhub:us-east-2::product/aws/securityhub/arn:aws:securityhub:us-east-2:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
},
"Resources": [
{
"Type": "AwsCloudTrailTrail",
"Id": "arn:aws:cloudtrail:us-east-2:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",
"Partition": "aws",
"Region": "us-east-2"
}
],
"Compliance": {
"Status": "FAILED",
"SecurityControlId": "CloudTrail.2",
"AssociatedStandards": [{
"StandardsId": "standards/aws-foundation-best-practices/v/1.0.0"
}]
},
"WorkflowState": "NEW",
"Workflow": {
"Status": "NEW"
},
"RecordState": "ACTIVE",
"FindingProviderFields": {
"Severity": {
"Label": "MEDIUM",
"Original": "MEDIUM"
},
"Types": [
"Software and Configuration Checks/Industry and Regulatory Standards/AWS-Foundational-Security-Best-Practices"
]
}
}
```
## Risultati di esempio per CIS AWS Foundations Benchmark v5.0.0
L'esempio seguente fornisce un esempio di risultato relativo a un controllo che si applica a CIS Foundations Benchmark v5.0.0. AWS In questo esempio, i risultati del controllo consolidato sono disabilitati.
```
{
"AwsAccountId": "123456789012",
"CompanyName": "AWS",
"Compliance": {
"Status": "FAILED",
"SecurityControlId": "EC2.7",
"RelatedRequirements": [
"CIS AWS Foundations Benchmark v5.0.0/5.1.1"
],
"AssociatedStandards": [
{
"StandardsId": "standards/cis-aws-foundations-benchmark/v/5.0.0"
}
]
},
"CreatedAt": "2025-10-10T17:04:00.952Z",
"Description": "Elastic Compute Cloud (EC2) supports encryption at rest when using the Elastic Block Store (EBS) service. While disabled by default, forcing encryption at EBS volume creation is supported.",
"FindingProviderFields": {
"Types": [
"Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark"
],
"Severity": {
"Normalized": 40,
"Label": "MEDIUM",
"Product": 40,
"Original": "MEDIUM"
}
},
"FirstObservedAt": "2025-10-10T17:03:57.895Z",
"GeneratorId": "cis-aws-foundations-benchmark/v/5.0.0/5.1.1",
"Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/cis-aws-foundations-benchmark/v/5.0.0/5.1.1/finding/443a9d3f-8a59-4fa0-8e2c-EXAMPLE111",
"LastObservedAt": "2025-10-14T05:22:28.667Z",
"ProcessedAt": "2025-10-14T05:22:50.099Z",
"ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub",
"ProductFields": {
"StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/5.0.0",
"StandardsSubscriptionArn": "arn:aws:securityhub:us-west-1:123456789012:subscription/cis-aws-foundations-benchmark/v/5.0.0",
"ControlId": "5.1.1",
"RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/EC2.7/remediation",
"RelatedAWSResources:0/name": "securityhub-ec2-ebs-encryption-by-default-2a99554f",
"RelatedAWSResources:0/type": "AWS::Config::ConfigRule",
"StandardsControlArn": "arn:aws:securityhub:us-west-1:123456789012:control/cis-aws-foundations-benchmark/v/5.0.0/5.1.1",
"aws/securityhub/ProductName": "Security Hub CSPM",
"aws/securityhub/CompanyName": "AWS",
"aws/securityhub/annotation": "EBS Encryption by default is not enabled.",
"Resources:0/Id": "arn:aws:iam::123456789012:root",
"aws/securityhub/FindingId": "arn:aws:securityhub:us-west-1::product/aws/securityhub/arn:aws:securityhub:us-west-1:123456789012:subscription/cis-aws-foundations-benchmark/v/5.0.0/5.1.1/finding/443a9d3f-8a59-4fa0-8e2c-EXAMPLE111",
"PreviousComplianceStatus": "FAILED"
},
"ProductName": "Security Hub CSPM",
"RecordState": "ACTIVE",
"Region": "us-west-1",
"Remediation": {
"Recommendation": {
"Text": "For information on how to correct this issue, consult the AWS Security Hub controls documentation.",
"Url": "https://docs.aws.amazon.com/console/securityhub/EC2.7/remediation"
}
},
"Resources": [
{
"Id": "AWS::::Account:123456789012",
"Partition": "aws",
"Region": "us-west-1",
"Type": "AwsAccount"
}
],
"SchemaVersion": "2018-10-08",
"Severity": {
"Label": "MEDIUM",
"Normalized": 40,
"Original": "MEDIUM",
"Product": 40
},
"Title": "5.1.1 EBS default encryption should be enabled",
"Types": [
"Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark"
],
"UpdatedAt": "2025-10-14T05:22:38.671Z",
"Workflow": {
"Status": "NEW"
},
"WorkflowState": "NEW"
}
```
## Risultati di esempio per CIS AWS Foundations Benchmark v3.0.0
L'esempio seguente fornisce un esempio di risultato relativo a un controllo che si applica a CIS Foundations Benchmark v3.0.0. AWS In questo esempio, i risultati del controllo consolidato sono disabilitati.
```
{
"SchemaVersion": "2018-10-08",
"Id": "arn:aws:securityhub:us-east-1:123456789012:subscription/cis-aws-foundations-benchmark/v/3.0.0/2.2.1/finding/38a89798-6819-4fae-861f-9cca8034602c",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/securityhub",
"ProductName": "Security Hub CSPM",
"CompanyName": "AWS",
"Region": "us-east-1",
"GeneratorId": "cis-aws-foundations-benchmark/v/3.0.0/2.2.1",
"AwsAccountId": "123456789012",
"Types": [
"Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark"
],
"FirstObservedAt": "2024-04-18T07:46:18.193Z",
"LastObservedAt": "2024-04-23T07:47:01.137Z",
"CreatedAt": "2024-04-18T07:46:18.193Z",
"UpdatedAt": "2024-04-23T07:46:46.165Z",
"Severity": {
"Product": 40,
"Label": "MEDIUM",
"Normalized": 40,
"Original": "MEDIUM"
},
"Title": "2.2.1 EBS default encryption should be enabled",
"Description": "Elastic Compute Cloud (EC2) supports encryption at rest when using the Elastic Block Store (EBS) service. While disabled by default, forcing encryption at EBS volume creation is supported.",
"Remediation": {
"Recommendation": {
"Text": "For information on how to correct this issue, consult the AWS Security Hub CSPM controls documentation.",
"Url": "https://docs.aws.amazon.com/console/securityhub/EC2.7/remediation"
}
},
"ProductFields": {
"StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/3.0.0",
"StandardsSubscriptionArn": "arn:aws:securityhub:us-east-1:123456789012:subscription/cis-aws-foundations-benchmark/v/3.0.0",
"ControlId": "2.2.1",
"RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/EC2.7/remediation",
"RelatedAWSResources:0/name": "securityhub-ec2-ebs-encryption-by-default-2843ed9e",
"RelatedAWSResources:0/type": "AWS::Config::ConfigRule",
"StandardsControlArn": "arn:aws:securityhub:us-east-1:123456789012:control/cis-aws-foundations-benchmark/v/3.0.0/2.2.1",
"aws/securityhub/ProductName": "Security Hub CSPM",
"aws/securityhub/CompanyName": "AWS",
"aws/securityhub/annotation": "EBS Encryption by default is not enabled.",
"Resources:0/Id": "arn:aws:iam::123456789012:root",
"aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/securityhub/arn:aws:securityhub:us-east-1:123456789012:subscription/cis-aws-foundations-benchmark/v/3.0.0/2.2.1/finding/38a89798-6819-4fae-861f-9cca8034602c"
},
"Resources": [
{
"Type": "AwsAccount",
"Id": "AWS::::Account:123456789012",
"Partition": "aws",
"Region": "us-east-1"
}
],
"Compliance": {
"Status": "FAILED",
"RelatedRequirements": [
"CIS AWS Foundations Benchmark v3.0.0/2.2.1"
],
"SecurityControlId": "EC2.7",
"AssociatedStandards": [
{
"StandardsId": "standards/cis-aws-foundations-benchmark/v/3.0.0"
}
]
},
"WorkflowState": "NEW",
"Workflow": {
"Status": "NEW"
},
"RecordState": "ACTIVE",
"FindingProviderFields": {
"Severity": {
"Label": "MEDIUM",
"Original": "MEDIUM"
},
"Types": [
"Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark"
]
},
"ProcessedAt": "2024-04-23T07:47:07.088Z"
}
```
## Risultati di esempio per CIS AWS Foundations Benchmark v1.4.0
L'esempio seguente fornisce un esempio di risultato di un controllo che si applica a AWS CIS Foundations Benchmark v1.4.0. In questo esempio, i risultati del controllo consolidato sono disabilitati.
```
{
"SchemaVersion": "2018-10-08",
"Id": "arn:aws:securityhub:us-east-1:123456789012:subscription/cis-aws-foundations-benchmark/v/1.4.0/3.7/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/securityhub",
"ProductName": "Security Hub CSPM",
"CompanyName": "AWS",
"Region": "us-east-1",
"GeneratorId": "cis-aws-foundations-benchmark/v/1.4.0/3.7",
"AwsAccountId": "123456789012",
"Types": [
"Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark"
],
"FirstObservedAt": "2022-10-21T22:14:48.913Z",
"LastObservedAt": "2022-12-22T22:24:56.980Z",
"CreatedAt": "2022-10-21T22:14:48.913Z",
"UpdatedAt": "2022-12-22T22:24:52.409Z",
"Severity": {
"Product": 40,
"Label": "MEDIUM",
"Normalized": 40,
"Original": "MEDIUM"
},
"Title": "3.7 Ensure CloudTrail logs are encrypted at rest using KMS CMKs",
"Description": "AWS CloudTrail is a web service that records AWS API calls for an account and makes those logs available to users and resources in accordance with IAM policies. AWS Key Management Service (KMS) is a managed service that helps create and control the encryption keys used to encrypt account data, and uses Hardware Security Modules (HSMs) to protect the security of encryption keys. CloudTrail logs can be configured to leverage server side encryption (SSE) and AWS KMS customer created master keys (CMK) to further protect CloudTrail logs. It is recommended that CloudTrail be configured to use SSE-KMS.",
"Remediation": {
"Recommendation": {
"Text": "For directions on how to correct this issue, consult the AWS Security Hub CSPM controls documentation.",
"Url": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation"
}
},
"ProductFields": {
"StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0",
"StandardsSubscriptionArn": "arn:aws:securityhub:us-east-1:123456789012:subscription/cis-aws-foundations-benchmark/v/1.4.0",
"ControlId": "3.7",
"RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation",
"RelatedAWSResources:0/name": "securityhub-cloud-trail-encryption-enabled-855f82d1",
"RelatedAWSResources:0/type": "AWS::Config::ConfigRule",
"StandardsControlArn": "arn:aws:securityhub:us-east-1:123456789012:control/cis-aws-foundations-benchmark/v/1.4.0/3.7",
"aws/securityhub/ProductName": "Security Hub CSPM",
"aws/securityhub/CompanyName": "AWS",
"Resources:0/Id": "arn:aws:cloudtrail:us-west-2:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",
"aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/securityhub/arn:aws:securityhub:us-east-1:123456789012:subscription/cis-aws-foundations-benchmark/v/1.4.0/3.7/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
},
"Resources": [
{
"Type": "AwsCloudTrailTrail",
"Id": "arn:aws:cloudtrail:us-west-2:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",
"Partition": "aws",
"Region": "us-east-1"
}
],
"Compliance": {
"Status": "FAILED",
"RelatedRequirements": [
"CIS AWS Foundations Benchmark v1.4.0/3.7"
],
"SecurityControlId": "CloudTrail.2",
"AssociatedStandards": [{
"StandardsId": "standards/cis-aws-foundations-benchmark/v/1.4.0"
}]
},
"WorkflowState": "NEW",
"Workflow": {
"Status": "NEW"
},
"RecordState": "ACTIVE",
"FindingProviderFields": {
"Severity": {
"Label": "MEDIUM",
"Original": "MEDIUM"
},
"Types": [
"Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark"
]
}
}
```
## Risultati di esempio per CIS AWS Foundations Benchmark v1.2.0
L'esempio seguente fornisce un esempio di risultato relativo a un controllo che si applica a AWS CIS Foundations Benchmark v1.2.0. In questo esempio, i risultati del controllo consolidato sono disabilitati.
```
{
"SchemaVersion": "2018-10-08",
"Id": "arn:aws:securityhub:us-east-2:123456789012:subscription/cis-aws-foundations-benchmark/v/1.2.0/2.7/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"ProductArn": "arn:aws:securityhub:us-east-2::product/aws/securityhub",
"ProductName": "Security Hub CSPM",
"CompanyName": "AWS",
"Region": "us-east-2",
"GeneratorId": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/2.7",
"AwsAccountId": "123456789012",
"Types": [
"Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark"
],
"FirstObservedAt": "2020-08-29T04:10:06.337Z",
"LastObservedAt": "2021-09-28T16:10:05.350Z",
"CreatedAt": "2020-08-29T04:10:06.337Z",
"UpdatedAt": "2021-09-28T16:10:00.087Z",
"Severity": {
"Product": 40,
"Label": "MEDIUM",
"Normalized": 40,
"Original": "MEDIUM"
},
"Title": "2.7 Ensure CloudTrail logs are encrypted at rest using KMS CMKs",
"Description": "AWS Key Management Service (KMS) is a managed service that helps create and control the encryption keys used to encrypt account data, and uses Hardware Security Modules (HSMs) to protect the security of encryption keys. CloudTrail logs can be configured to leverage server side encryption (SSE) and KMS customer created master keys (CMK) to further protect CloudTrail logs. It is recommended that CloudTrail be configured to use SSE-KMS.",
"Remediation": {
"Recommendation": {
"Text": "For directions on how to correct this issue, consult the AWS Security Hub CSPM controls documentation.",
"Url": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation"
}
},
"ProductFields": {
"StandardsGuideArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0",
"StandardsGuideSubscriptionArn": "arn:aws:securityhub:us-east-2:123456789012:subscription/cis-aws-foundations-benchmark/v/1.2.0",
"RuleId": "2.7",
"RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation",
"Related AWS Resources:0/name": "securityhub-cloud-trail-encryption-enabled-fe95bf3f",
"Related AWS Resources:0/type": "AWS::Config::ConfigRule",
"StandardsControlArn": "arn:aws:securityhub:us-east-2:123456789012:control/cis-aws-foundations-benchmark/v/1.2.0/2.7",
"aws/securityhub/ProductName": "Security Hub CSPM",
"aws/securityhub/CompanyName": "AWS",
"Resources:0/Id": "arn:aws:cloudtrail:us-east-2:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",
"aws/securityhub/FindingId": "arn:aws:securityhub:us-east-2::product/aws/securityhub/arn:aws:securityhub:us-east-2:123456789012:subscription/cis-aws-foundations-benchmark/v/1.2.0/2.7/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
},
"Resources": [
{
"Type": "AwsCloudTrailTrail",
"Id": "arn:aws:cloudtrail:us-east-2:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",
"Partition": "aws",
"Region": "us-east-2"
}
],
"Compliance": {
"Status": "FAILED",
"SecurityControlId": "CloudTrail.2",
"AssociatedStandards": [{
"StandardsId": "ruleset/cis-aws-foundations-benchmark/v/1.2.0"
}]
},
"WorkflowState": "NEW",
"Workflow": {
"Status": "NEW"
},
"RecordState": "ACTIVE",
"FindingProviderFields": {
"Severity": {
"Label": "MEDIUM",
"Original": "MEDIUM"
},
"Types": [
"Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark"
]
}
}
```
## Risultati di esempio per lo standard NIST SP 800-53 Revisione 5
L'esempio seguente fornisce un esempio di risultato relativo a un controllo che si applica allo standard NIST SP 800-53 Revisione 5. In questo esempio, i risultati del controllo consolidato sono disabilitati.
```
{
"SchemaVersion": "2018-10-08",
"Id": "arn:aws:securityhub:us-east-1:123456789012:subscription/nist-800-53/v/5.0.0/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/securityhub",
"ProductName": "Security Hub CSPM",
"CompanyName": "AWS",
"Region": "us-east-1",
"GeneratorId": "nist-800-53/v/5.0.0/CloudTrail.2",
"AwsAccountId": "123456789012",
"Types": [
"Software and Configuration Checks/Industry and Regulatory Standards"
],
"FirstObservedAt": "2023-02-17T14:22:46.726Z",
"LastObservedAt": "2023-02-17T14:22:50.846Z",
"CreatedAt": "2023-02-17T14:22:46.726Z",
"UpdatedAt": "2023-02-17T14:22:46.726Z",
"Severity": {
"Product": 40,
"Label": "MEDIUM",
"Normalized": 40,
"Original": "MEDIUM"
},
"Title": "CloudTrail.2 CloudTrail should have encryption at-rest enabled",
"Description": "This AWS control checks whether AWS CloudTrail is configured to use the server side encryption (SSE) AWS Key Management Service (AWS KMS) customer master key (CMK) encryption. The check will pass if the KmsKeyId is defined.",
"Remediation": {
"Recommendation": {
"Text": "For directions on how to fix this issue, consult the AWS Security Hub CSPM NIST 800-53 R5 documentation.",
"Url": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation"
}
},
"ProductFields": {
"StandardsArn": "arn:aws:securityhub:::standards/nist-800-53/v/5.0.0",
"StandardsSubscriptionArn": "arn:aws:securityhub:us-east-1:123456789012:subscription/nist-800-53/v/5.0.0",
"ControlId": "CloudTrail.2",
"RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.9/remediation",
"RelatedAWSResources:0/name": "securityhub-cloud-trail-encryption-enabled-fe95bf3f",
"RelatedAWSResources:0/type": "AWS::Config::ConfigRule",
"StandardsControlArn": "arn:aws:securityhub:us-east-2:123456789012:control/aws-foundational-security-best-practices/v/1.0.0/CloudTrail.2",
"aws/securityhub/ProductName": "Security Hub CSPM",
"aws/securityhub/CompanyName": "AWS",
"Resources:0/Id": "arn:aws:cloudtrail:us-west-2:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",
"aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/securityhub/arn:aws:securityhub:us-east-1:123456789012:subscription/nist-800-53/v/5.0.0/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
},
"Resources": [
{
"Type": "AwsCloudTrailTrail",
"Id": "arn:aws:cloudtrail:us-east-1:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",
"Partition": "aws",
"Region": "us-east-1"
}
],
"Compliance": {
"Status": "FAILED",
"RelatedRequirements": [
"NIST.800-53.r5 AU-9",
"NIST.800-53.r5 CA-9(1)",
"NIST.800-53.r5 CM-3(6)",
"NIST.800-53.r5 SC-13",
"NIST.800-53.r5 SC-28",
"NIST.800-53.r5 SC-28(1)",
"NIST.800-53.r5 SC-7(10)",
"NIST.800-53.r5 SI-7(6)"
],
"SecurityControlId": "CloudTrail.2",
"AssociatedStandards": [
{
"StandardsId": "standards/nist-800-53/v/5.0.0"
}
]
},
"WorkflowState": "NEW",
"Workflow": {
"Status": "NEW"
},
"RecordState": "ACTIVE",
"FindingProviderFields": {
"Severity": {
"Label": "MEDIUM",
"Original": "MEDIUM"
},
"Types": [
"Software and Configuration Checks/Industry and Regulatory Standards"
]
},
"ProcessedAt": "2023-02-17T14:22:53.572Z"
}
```
## Esempio di risultato per lo standard NIST SP 800-171 Revisione 2
L'esempio seguente fornisce un esempio di risultato relativo a un controllo che si applica allo standard NIST SP 800-171 Revisione 2. In questo esempio, i risultati del controllo consolidato sono disabilitati.
```
{
"SchemaVersion": "2018-10-08",
"Id": "arn:aws:securityhub:us-east-1:123456789012:subscription/nist-800-171/v/2.0.0/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/securityhub",
"ProductName": "Security Hub",
"CompanyName": "AWS",
"Region": "us-east-1",
"GeneratorId": "nist-800-171/v/2.0.0/CloudTrail.2",
"AwsAccountId": "123456789012",
"AwsAccountName": "TestAcct",
"Types": [
"Software and Configuration Checks/Industry and Regulatory Standards"
],
"FirstObservedAt": "2025-05-29T05:23:58.690Z",
"LastObservedAt": "2025-05-30T05:50:11.898Z",
"CreatedAt": "2025-05-29T05:24:24.772Z",
"UpdatedAt": "2025-05-30T05:50:34.292Z",
"Severity": {
"Product": 40,
"Label": "MEDIUM",
"Normalized": 40,
"Original": "MEDIUM"
},
"Title": "CloudTrail.2 CloudTrail should have encryption at-rest enabled",
"Description": "This AWS control checks whether AWS CloudTrail is configured to use the server side encryption (SSE) AWS Key Management Service (AWS KMS) customer master key (CMK) encryption. The check will pass if the KmsKeyId is defined.",
"Remediation": {
"Recommendation": {
"Text": "For information on how to correct this issue, consult the AWS Security Hub CSPM controls documentation.",
"Url": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation"
}
},
"ProductFields": {
"StandardsArn": "arn:aws:securityhub:::standards/nist-800-171/v/2.0.0",
"StandardsSubscriptionArn": "arn:aws:securityhub:us-east-1:123456789012:subscription/nist-800-171/v/2.0.0",
"ControlId": "CloudTrail.2",
"RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation",
"RelatedAWSResources:0/name": "securityhub-cloud-trail-encryption-enabled-0ab1c2d4",
"RelatedAWSResources:0/type": "AWS::Config::ConfigRule",
"StandardsControlArn": "arn:aws:securityhub:us-east-1:123456789012:control/nist-800-171/v/2.0.0/CloudTrail.2",
"aws/securityhub/ProductName": "Security Hub",
"aws/securityhub/CompanyName": "AWS",
"Resources:0/Id": "arn:aws:cloudtrail:ca-central-1:123456789012:trail/aws-BaselineCloudTrail",
"aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/securityhub/arn:aws:securityhub:us-east-1:123456789012:subscription/nist-800-171/v/2.0.0/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
},
"Resources": [
{
"Id": "arn:aws:cloudtrail:ca-central-1:123456789012:trail/aws-BaselineCloudTrail",
"Partition": "aws",
"Region": "us-east-1",
"Type": "AwsCloudTrailTrail"
}
],
"Compliance": {
"Status": "FAILED",
"SecurityControlId": "CloudTrail.2",
"RelatedRequirements": [
"NIST.800-171.r2/3.3.8"
],
"AssociatedStandards": [
{
"StandardsId": "standards/nist-800-171/v/2.0.0"
}
]
},
"Workflow": {
"Status": "NEW"
},
"WorkflowState": "NEW",
"RecordState": "ACTIVE",
"FindingProviderFields": {
"Types": [
"Software and Configuration Checks/Industry and Regulatory Standards"
],
"Severity": {
"Product": 40,
"Label": "MEDIUM",
"Normalized": 40,
"Original": "MEDIUM"
}
},
"ProcessedAt": "2025-05-30T05:50:40.297Z"
}
```
## Esempio di risultato relativo allo standard di sicurezza dei dati del settore delle carte di pagamento v3.2.1
L'esempio seguente fornisce un esempio di risultato relativo a un controllo che si applica al Payment Card Industry Data Security Standard (PCI DSS) v3.2.1. In questo esempio, i risultati del controllo consolidato sono disabilitati.
```
{
"SchemaVersion": "2018-10-08",
"Id": "arn:aws:securityhub:us-east-2:123456789012:subscription/pci-dss/v/3.2.1/PCI.CloudTrail.1/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"ProductArn": "arn:aws:securityhub:us-east-2::product/aws/securityhub",
"ProductName": "Security Hub CSPM",
"CompanyName": "AWS",
"Region": "us-east-2",
"GeneratorId": "pci-dss/v/3.2.1/PCI.CloudTrail.1",
"AwsAccountId": "123456789012",
"Types": [
"Software and Configuration Checks/Industry and Regulatory Standards/PCI-DSS"
],
"FirstObservedAt": "2020-08-06T02:18:23.089Z",
"LastObservedAt": "2021-09-28T16:10:06.942Z",
"CreatedAt": "2020-08-06T02:18:23.089Z",
"UpdatedAt": "2021-09-28T16:10:00.090Z",
"Severity": {
"Product": 40,
"Label": "MEDIUM",
"Normalized": 40,
"Original": "MEDIUM"
},
"Title": "PCI.CloudTrail.1 CloudTrail logs should be encrypted at rest using AWS KMS CMKs",
"Description": "This AWS control checks whether AWS CloudTrail is configured to use the server side encryption (SSE) AWS Key Management Service (AWS KMS) customer master key (CMK) encryption by checking if the KmsKeyId is defined.",
"Remediation": {
"Recommendation": {
"Text": "For directions on how to correct this issue, consult the AWS Security Hub CSPM controls documentation.",
"Url": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation"
}
},
"ProductFields": {
"StandardsArn": "arn:aws:securityhub:::standards/pci-dss/v/3.2.1",
"StandardsSubscriptionArn": "arn:aws:securityhub:us-east-2:123456789012:subscription/pci-dss/v/3.2.1",
"ControlId": "PCI.CloudTrail.1",
"RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation",
"Related AWS Resources:0/name": "securityhub-cloud-trail-encryption-enabled-fe95bf3f",
"Related AWS Resources:0/type": "AWS::Config::ConfigRule",
"StandardsControlArn": "arn:aws:securityhub:us-east-2:123456789012:control/pci-dss/v/3.2.1/PCI.CloudTrail.1",
"aws/securityhub/ProductName": "Security Hub CSPM",
"aws/securityhub/CompanyName": "AWS",
"Resources:0/Id": "arn:aws:cloudtrail:us-east-2:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",
"aws/securityhub/FindingId": "arn:aws:securityhub:us-east-2::product/aws/securityhub/arn:aws:securityhub:us-east-2:123456789012:subscription/pci-dss/v/3.2.1/PCI.CloudTrail.1/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
},
"Resources": [
{
"Type": "AwsCloudTrailTrail",
"Id": "arn:aws:cloudtrail:us-east-2:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",
"Partition": "aws",
"Region": "us-east-2"
}
],
"Compliance": {
"Status": "FAILED",
"RelatedRequirements": [
"PCI DSS 3.4"
],
"SecurityControlId": "CloudTrail.2",
"AssociatedStandards": [{
"StandardsId": "standards/pci-dss/v/3.2.1"
}]
},
"WorkflowState": "NEW",
"Workflow": {
"Status": "NEW"
},
"RecordState": "ACTIVE",
"FindingProviderFields": {
"Severity": {
"Label": "MEDIUM",
"Original": "MEDIUM"
},
"Types": [
"Software and Configuration Checks/Industry and Regulatory Standards/PCI-DSS"
]
}
}
```
## Esempio di risultato per lo standard AWS Resource Tagging
L'esempio seguente fornisce un esempio di ricerca di un controllo che si applica allo standard AWS Resource Tagging. In questo esempio, i risultati del controllo consolidato sono disabilitati.
```
{
"SchemaVersion": "2018-10-08",
"Id": "arn:aws:securityhub:eu-central-1:123456789012:security-control/EC2.44/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"ProductArn": "arn:aws:securityhub:eu-central-1::product/aws/securityhub",
"ProductName": "Security Hub CSPM",
"CompanyName": "AWS",
"Region": "eu-central-1",
"GeneratorId": "security-control/EC2.44",
"AwsAccountId": "123456789012",
"Types": [
"Software and Configuration Checks/Industry and Regulatory Standards"
],
"FirstObservedAt": "2024-02-19T21:00:32.206Z",
"LastObservedAt": "2024-04-29T13:01:57.861Z",
"CreatedAt": "2024-02-19T21:00:32.206Z",
"UpdatedAt": "2024-04-29T13:01:41.242Z",
"Severity": {
"Label": "LOW",
"Normalized": 1,
"Original": "LOW"
},
"Title": "EC2 subnets should be tagged",
"Description": "This control checks whether an Amazon EC2 subnet has tags with the specific keys defined in the parameter requiredTagKeys. The control fails if the subnet doesn't have any tag keys or if it doesn't have all the keys specified in the parameter requiredTagKeys. If the parameter requiredTagKeys isn't provided, the control only checks for the existence of a tag key and fails if the subnet isn't tagged with any key. System tags, which are automatically applied and begin with aws:, are ignored.",
"Remediation": {
"Recommendation": {
"Text": "For information on how to correct this issue, consult the AWS Security Hub CSPM controls documentation.",
"Url": "https://docs.aws.amazon.com/console/securityhub/EC2.44/remediation"
}
},
"ProductFields": {
"RelatedAWSResources:0/name": "securityhub-tagged-ec2-subnet-6ceafede",
"RelatedAWSResources:0/type": "AWS::Config::ConfigRule",
"aws/securityhub/ProductName": "Security Hub CSPM",
"aws/securityhub/CompanyName": "AWS",
"aws/securityhub/annotation": "No tags are present.",
"Resources:0/Id": "arn:aws:ec2:eu-central-1:123456789012:subnet/subnet-1234567890abcdef0",
"aws/securityhub/FindingId": "arn:aws:securityhub:eu-central-1::product/aws/securityhub/arn:aws:securityhub:eu-central-1:123456789012:security-control/EC2.44/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
},
"Resources": [
{
"Type": "AwsEc2Subnet",
"Id": "arn:aws:ec2:eu-central-1:123456789012:subnet/subnet-1234567890abcdef0",
"Partition": "aws",
"Region": "eu-central-1",
"Details": {
"AwsEc2Subnet": {
"AssignIpv6AddressOnCreation": false,
"AvailabilityZone": "eu-central-1b",
"AvailabilityZoneId": "euc1-az3",
"AvailableIpAddressCount": 4091,
"CidrBlock": "10.24.34.0/23",
"DefaultForAz": true,
"MapPublicIpOnLaunch": true,
"OwnerId": "123456789012",
"State": "available",
"SubnetArn": "arn:aws:ec2:eu-central-1:123456789012:subnet/subnet-1234567890abcdef0",
"SubnetId": "subnet-1234567890abcdef0",
"VpcId": "vpc-021345abcdef6789"
}
}
}
],
"Compliance": {
"Status": "FAILED",
"SecurityControlId": "EC2.44",
"AssociatedStandards": [
{
"StandardsId": "standards/aws-resource-tagging-standard/v/1.0.0"
}
],
"SecurityControlParameters": [
{
"Name": "requiredTagKeys",
"Value": [
"peepoo"
]
}
],
},
"WorkflowState": "NEW",
"Workflow": {
"Status": "NEW"
},
"RecordState": "ACTIVE",
"FindingProviderFields": {
"Severity": {
"Label": "LOW",
"Original": "LOW"
},
"Types": [
"Software and Configuration Checks/Industry and Regulatory Standards"
]
},
"ProcessedAt": "2024-04-29T13:02:03.259Z"
}
```
## Esempio di risultato per lo standard gestito dai AWS Control Tower servizi
L'esempio seguente fornisce un esempio di risultato relativo a un controllo che si applica allo standard gestito dai AWS Control Tower servizi. In questo esempio, i risultati del controllo consolidato sono disabilitati.
```
{
"SchemaVersion": "2018-10-08",
"Id": "arn:aws:securityhub:us-east-1:123456789012:subscription/service-managed-aws-control-tower/v/1.0.0/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/securityhub",
"ProductName": "Security Hub CSPM",
"CompanyName": "AWS",
"Region": "us-east-1",
"GeneratorId": "service-managed-aws-control-tower/v/1.0.0/CloudTrail.2",
"AwsAccountId": "123456789012",
"Types": [
"Software and Configuration Checks/Industry and Regulatory Standards"
],
"FirstObservedAt": "2022-11-17T01:25:30.296Z",
"LastObservedAt": "2022-11-17T01:25:45.805Z",
"CreatedAt": "2022-11-17T01:25:30.296Z",
"UpdatedAt": "2022-11-17T01:25:30.296Z",
"Severity": {
"Product": 40,
"Label": "MEDIUM",
"Normalized": 40,
"Original": "MEDIUM"
},
"Title": "CT.CloudTrail.2 CloudTrail should have encryption at-rest enabled",
"Description": "This AWS control checks whether AWS CloudTrail is configured to use the server side encryption (SSE) AWS Key Management Service (AWS KMS) customer master key (CMK) encryption. The check will pass if the KmsKeyId is defined.",
"Remediation": {
"Recommendation": {
"Text": "For information on how to correct this issue, consult the AWS Security Hub CSPM controls documentation.",
"Url": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation"
}
},
"ProductFields": {
"StandardsArn": "arn:aws:securityhub:::standards/service-managed-aws-control-tower/v/1.0.0",
"StandardsSubscriptionArn": "arn:aws:securityhub:us-east-1:123456789012:subscription/service-managed-aws-control-tower/v/1.0.0",
"ControlId": "CT.CloudTrail.2",
"RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation",
"RelatedAWSResources:0/name": "securityhub-cloud-trail-encryption-enabled-fe95bf3f",
"RelatedAWSResources:0/type": "AWS::Config::ConfigRule",
"StandardsControlArn": "arn:aws:securityhub:us-east-1:123456789012:control/service-managed-aws-control-tower/v/1.0.0/CloudTrail.2",
"aws/securityhub/ProductName": "Security Hub CSPM",
"aws/securityhub/CompanyName": "AWS",
"Resources:0/Id": "arn:aws:cloudtrail:us-east-2:123456789012:trail/AWSMacieTrail-DO-NOT-EDIT",
"aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/securityhub/arn:aws:securityhub:us-east-1:123456789012:subscription/service-managed-aws-control-tower/v/1.0.0/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
},
"Resources": [
{
"Type": "AwsAccount",
"Id": "AWS::::Account:123456789012",
"Partition": "aws",
"Region": "us-east-1"
}
],
"Compliance": {
"Status": "FAILED",
"SecurityControlId": "CloudTrail.2",
"AssociatedStandards": [{
"StandardsId": "standards/service-managed-aws-control-tower/v/1.0.0"
}]
},
"WorkflowState": "NEW",
"Workflow": {
"Status": "NEW"
},
"RecordState": "ACTIVE",
"FindingProviderFields": {
"Severity": {
"Label": "MEDIUM",
"Original": "MEDIUM"
},
"Types": [
"Software and Configuration Checks/Industry and Regulatory Standards"
]
}
}
```
## Esempio di risultato consolidato per più standard
L'esempio seguente fornisce un esempio di risultato relativo a un controllo che si applica a più standard abilitati. In questo esempio, i risultati del controllo consolidato sono abilitati.
```
{
"SchemaVersion": "2018-10-08",
"Id": "arn:aws:securityhub:us-east-1:123456789012:security-control/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"ProductArn": "arn:aws:securityhub:us-east-1::product/aws/securityhub",
"ProductName": "Security Hub",
"CompanyName": "AWS",
"Region": "us-east-1",
"GeneratorId": "security-control/CloudTrail.2",
"AwsAccountId": "123456789012",
"Types": [
"Software and Configuration Checks/Industry and Regulatory Standards"
],
"FirstObservedAt": "2024-08-09T14:57:04.521Z",
"LastObservedAt": "2025-05-30T03:30:17.407Z",
"CreatedAt": "2024-08-09T14:57:04.521Z",
"UpdatedAt": "2025-05-30T03:30:32.781Z",
"Severity": {
"Label": "MEDIUM",
"Normalized": 40,
"Original": "MEDIUM"
},
"Title": "CloudTrail should have encryption at-rest enabled",
"Description": "This AWS control checks whether AWS CloudTrail is configured to use the server side encryption (SSE) AWS Key Management Service (AWS KMS) customer master key (CMK) encryption. The check will pass if the KmsKeyId is defined.",
"Remediation": {
"Recommendation": {
"Text": "For information on how to correct this issue, consult the AWS Security Hub CSPM controls documentation.",
"Url": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation"
}
},
"ProductFields": {
"RelatedAWSResources:0/name": "securityhub-cloud-trail-encryption-enabled-01a2b345",
"RelatedAWSResources:0/type": "AWS::Config::ConfigRule",
"aws/securityhub/ProductName": "Security Hub",
"aws/securityhub/CompanyName": "AWS",
"Resources:0/Id": "arn:aws:cloudtrail:us-east-1:123456789012:trail/TestTrail-DO-NOT-DELETE",
"aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/securityhub/arn:aws:securityhub:us-east-1:123456789012:security-control/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
},
"Resources": [
{
"Type": "AwsCloudTrailTrail",
"Id": "arn:aws:cloudtrail:us-east-1:123456789012:trail/TestTrail-DO-NOT-DELETE",
"Partition": "aws",
"Region": "us-east-1",
"Details": {
"AwsCloudTrailTrail": {
"HasCustomEventSelectors": false,
"IncludeGlobalServiceEvents": true,
"LogFileValidationEnabled": true,
"HomeRegion": "us-east-1",
"IsMultiRegionTrail": true,
"S3BucketName": "cloudtrail-awslogs-do-not-delete",
"IsOrganizationTrail": false,
"Name": "TestTrail-DO-NOT-DELETE"
}
}
}
],
"Compliance": {
"Status": "FAILED",
"SecurityControlId": "CloudTrail.2",
"RelatedRequirements": [
"CIS AWS Foundations Benchmark v1.2.0/2.7",
"CIS AWS Foundations Benchmark v1.4.0/3.7",
"CIS AWS Foundations Benchmark v3.0.0/3.5",
"NIST.800-171.r2/3.3.8",
"PCI DSS v3.2.1/3.4",
"PCI DSS v4.0.1/10.3.2"
],
"AssociatedStandards": [
{ "StandardsId": "ruleset/cis-aws-foundations-benchmark/v/1.2.0"},
{ "StandardsId": "standards/aws-foundational-security-best-practices/v/1.0.0"},
{ "StandardsId": "standards/cis-aws-foundations-benchmark/v/1.4.0"},
{ "StandardsId": "standards/cis-aws-foundations-benchmark/v/3.0.0"},
{ "StandardsId": "standards/nist-800-171/v/2.0.0"},
{ "StandardsId": "standards/pci-dss/v/3.2.1"},
{ "StandardsId": "standards/pci-dss/v/4.0.1"}
]
},
"Workflow": {
"Status": "NEW"
},
"WorkflowState": "NEW",
"RecordState": "ACTIVE",
"FindingProviderFields": {
"Types": [
"Software and Configuration Checks/Industry and Regulatory Standards"
],
"Severity": {
"Normalized": 40,
"Label": "MEDIUM",
"Original": "MEDIUM"
}
},
"ProcessedAt": "2025-05-30T03:31:00.831Z"
}
```