Controlli Security Hub per Amazon EC2

Questi AWS Security Hub i controlli valutano il servizio e le risorse Amazon Elastic Compute Cloud (AmazonEC2).

Questi controlli potrebbero non essere disponibili in tutti Regioni AWS. Per ulteriori informazioni, vedereDisponibilità dei controlli per regione.

[EC2.1] Le EBS istantanee di Amazon non devono essere ripristinabili pubblicamente

Requisiti correlati: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7), (21),, (11) NIST.800-53.r5 AC-3, (16), (20) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), (3) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (4), (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

Categoria: Protezione > Configurazione di rete protetta

Severità: critica

Tipo di risorsa: AWS::::Account

AWS Config regola: ebs-snapshot-public-restorable-check

Tipo di pianificazione: periodica

Parametri: nessuno

Questo controllo verifica se gli snapshot di Amazon Elastic Block Store non sono pubblici. Il controllo fallisce se le EBS istantanee di Amazon sono ripristinabili da chiunque.

EBSle istantanee vengono utilizzate per eseguire il backup dei dati sui EBS volumi su Amazon S3 in un momento specifico. È possibile utilizzare le istantanee per ripristinare gli stati precedenti dei volumi. EBS Raramente è accettabile condividere uno snapshot con il pubblico. In genere la decisione di condividere pubblicamente uno snapshot viene presa per errore o senza una completa comprensione delle implicazioni. Questo controllo consente di garantire che tale condivisione sia stata completamente pianificata ed è intenzionale.

Correzione

Per rendere privata un'EBSistantanea pubblica, consulta Share a snapshot nella Amazon EC2 User Guide. Per Azioni, Modifica le autorizzazioni, scegli Privato.

[EC2.2] i gruppi di sicurezza VPC predefiniti non devono consentire il traffico in entrata o in uscita

Requisiti correlati: PCI DSS v3.2.1/1.2.1, v3.2.1/1.3.4, v3.2.1/2.1, PCI DSS PCI DSS CIS AWS Foundations Benchmark v1.2.0/4.3, CIS AWS Foundations Benchmark v1.4.0/5.3, CIS AWS Fondamenti Benchmark v3.0.0/5.4, (21) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (11), (16) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), (4), NIST.800-53.r5 SC-7 (5) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

Categoria: Protezione > Configurazione di rete protetta

Gravità: alta

Tipo di risorsa: AWS::EC2::SecurityGroup

AWS Config regola: vpc-default-security-group-closed

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se il gruppo di sicurezza predefinito di a VPC consente il traffico in entrata o in uscita. Il controllo ha esito negativo se il gruppo di sicurezza consente il traffico in entrata o in uscita.

Le regole per il gruppo di sicurezza predefinito consentono tutto il traffico in uscita e in ingresso dalle interfacce di rete (e le istanze associate) assegnate allo stesso gruppo di sicurezza. Ti consigliamo di non utilizzare il gruppo di sicurezza predefinito. Poiché il gruppo di sicurezza predefinito non può essere eliminato, è necessario modificare l'impostazione delle regole di gruppo di sicurezza predefinito per limitare il traffico in ingresso e in uscita. Ciò impedisce il traffico involontario se il gruppo di sicurezza predefinito viene configurato accidentalmente per risorse come EC2 le istanze.

Correzione

Per risolvere questo problema, inizia creando nuovi gruppi di sicurezza con privilegi minimi. Per istruzioni, consulta Creare un gruppo di sicurezza nella Amazon VPC User Guide. Quindi, assegna i nuovi gruppi di sicurezza alle tue EC2 istanze. Per istruzioni, consulta Modificare il gruppo di sicurezza di un'istanza nella Amazon EC2 User Guide.

Dopo aver assegnato i nuovi gruppi di sicurezza alle tue risorse, rimuovi tutte le regole in entrata e in uscita dai gruppi di sicurezza predefiniti. Per istruzioni, consulta Configurare le regole dei gruppi di sicurezza nella Amazon VPC User Guide.

[EC2.3] I EBS volumi Amazon collegati devono essere crittografati quando sono inattivi

Requisiti correlati: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST .800-53.r5 SI-7 (6)

Categoria: Protezione > Protezione dei dati > Crittografia di data-at-rest

Gravità: media

Tipo di risorsa: AWS::EC2::Volume

AWS Config regola: encrypted-volumes

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se i EBS volumi che si trovano in uno stato collegato sono crittografati. Per superare questo controllo, EBS i volumi devono essere in uso e crittografati. Se il EBS volume non è allegato, non è soggetto a questo controllo.

Per un ulteriore livello di sicurezza dei dati sensibili in EBS volumi, è necessario abilitare EBS la crittografia a riposo. Amazon EBS Encryption offre una soluzione di crittografia semplice per EBS le tue risorse che non richiede la creazione, la manutenzione e la protezione della tua infrastruttura di gestione delle chiavi. Utilizza KMS le chiavi per creare volumi e istantanee crittografati.

Per ulteriori informazioni sulla EBS crittografia di Amazon, consulta Amazon EBS encryption nella Amazon EC2 User Guide.

Correzione

Non esiste un modo diretto per crittografare un volume o un'istantanea non crittografata esistente. È possibile crittografare un nuovo volume o snapshot solo quando viene creato.

Se hai abilitato la crittografia per impostazione predefinita, Amazon EBS crittografa il nuovo volume o snapshot risultante utilizzando la tua chiave predefinita per la crittografia AmazonEBS. Anche se non la crittografia non è abilitata per impostazione predefinita, è possibile abilitare la crittografia al momento della creazione di uno specifico volume o snapshot. In entrambi i casi, puoi sostituire la chiave predefinita per la EBS crittografia Amazon e scegliere una chiave simmetrica gestita dal cliente.

Per ulteriori informazioni, consulta Creazione di un EBS volume Amazon e copia di uno EBS snapshot Amazon nella Amazon EC2 User Guide.

[EC2.4] EC2 Le istanze interrotte devono essere rimosse dopo un periodo di tempo specificato

Requisiti correlati: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2, .800-53.r5 CM-2 (2) NIST

Categoria: Identificazione > Inventario

Gravità: media

Tipo di risorsa: AWS::EC2::Instance

AWS Config regola: ec2-stopped-instance

Tipo di pianificazione: periodica

Parametri:

Parametro	Descrizione	Tipo	Valori personalizzati consentiti	Valore predefinito di Security Hub
`AllowedDays`	Numero di giorni in cui l'EC2istanza può rimanere in uno stato di arresto prima della generazione di un risultato non riuscito.	Numero intero	`1` Da a `365`	`30`

Questo controllo verifica se un'EC2istanza Amazon è stata interrotta per un periodo superiore al numero di giorni consentito. Il controllo fallisce se un'EC2istanza viene interrotta per un periodo di tempo superiore al periodo di tempo massimo consentito. A meno che non si fornisca un valore di parametro personalizzato per il periodo di tempo massimo consentito, Security Hub utilizza un valore predefinito di 30 giorni.

Quando un'EC2istanza non viene eseguita per un periodo di tempo significativo, crea un rischio per la sicurezza perché l'istanza non viene gestita attivamente (analizzata, corretta, aggiornata). Se viene avviata in un secondo momento, la mancanza di una manutenzione adeguata potrebbe causare problemi imprevisti AWS ambiente. Per mantenere un'EC2istanza inattiva in modo sicuro nel tempo, avviala periodicamente per la manutenzione e poi interrompila dopo la manutenzione. Idealmente, questo dovrebbe essere un processo automatizzato.

Correzione

Per terminare un'EC2istanza inattiva, consulta Terminare un'istanza nella Amazon EC2 User Guide.

[EC2.6] la registrazione VPC del flusso deve essere abilitata in tutto VPCs

Requisiti correlati: CIS AWS Foundations Benchmark v1.2.0/2.9, CIS AWS Foundations Benchmark v1.4.0/3.9, CIS AWS Fondamenti di Benchmark v3.0.0/3.7, v3.2.1/10.3.3, v3.2.1/10.3.4, v3.2.1/10.3.5, PCI DSS v3.2.1/10.3.6, (26), .800-53.r5 SI-7 (8) PCI DSS PCI DSS PCI DSS NIST.800-53.r5 AC-4 NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST

Categoria: Identificazione > Registrazione

Gravità: media

Tipo di risorsa: AWS::EC2::VPC

AWS Config regola: vpc-flow-logs-enabled

Tipo di pianificazione: periodica

Parametri:

trafficType: REJECT (non personalizzabile)

Questo controllo verifica se Amazon VPC Flow Logs è stato trovato e abilitato. VPCs Il tipo di traffico è impostato su. Reject Il controllo fallisce se i VPC Flow Logs non sono abilitati VPCs nel tuo account.

Nota

Questo controllo non verifica se Amazon VPC Flow Logs è abilitato tramite Amazon Security Lake per Account AWS.

Con la funzionalità VPC Flow Logs, puoi acquisire informazioni sul traffico di indirizzi IP in entrata e in uscita dalle interfacce di rete del tuo. VPC Dopo aver creato un log di flusso, puoi visualizzarne e recuperarne i dati in Logs. CloudWatch Per ridurre i costi, puoi anche inviare i log di flusso ad Amazon S3.

Security Hub consiglia di abilitare la registrazione del flusso per i pacchetti rifiutati per. VPCs I log di flusso forniscono visibilità sul traffico di rete che attraversa il VPC e possono rilevare il traffico anomalo o fornire informazioni durante i flussi di lavoro di sicurezza.

Per impostazione predefinita, il record include i valori per i diversi componenti del flusso di indirizzi IP, tra cui origine, destinazione e protocollo. Per ulteriori informazioni e descrizioni dei campi di registro, consulta VPCFlow Logs nella Amazon VPC User Guide.

Correzione

Per creare un log di VPC flusso, consulta Create a Flow Log nella Amazon VPC User Guide. Dopo aver aperto la VPC console Amazon, scegli Your VPCs. Per Filtro, scegli Rifiuta o Tutto.

[EC2.7] la crittografia EBS predefinita deve essere abilitata

Requisiti correlati: CIS AWS Foundations Benchmark v1.4.0/2.2.1, CIS AWS Fondamenti di Benchmark v3.0.0/2.2.1, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8 (1), (10), .800-53.r5 SI-7 ( NIST.800-53.r5 SC-26) NIST.800-53.r5 SC-7 NIST

Categoria: Protezione > Protezione dei dati > Crittografia di data-at-rest

Gravità: media

Tipo di risorsa: AWS::::Account

AWS Config regola: ec2-ebs-encryption-by-default

Tipo di pianificazione: periodica

Parametri: nessuno

Questo controllo verifica se la crittografia a livello di account è abilitata per impostazione predefinita per Amazon Elastic Block Store (AmazonEBS). Il controllo fallisce se la crittografia a livello di account non è abilitata.

Quando la crittografia è abilitata per il tuo account, EBS i volumi Amazon e le copie istantanee vengono crittografati quando sono inattivi. Ciò aggiunge un ulteriore livello di protezione per i tuoi dati. Per ulteriori informazioni, consulta Encryption by default nella Amazon EC2 User Guide.

Tieni presente che i seguenti tipi di istanza non supportano la crittografia: R1, C1 e M1.

Correzione

Per configurare la crittografia predefinita per i EBS volumi Amazon, consulta Encryption by default nella Amazon EC2 User Guide.

[EC2.8] EC2 le istanze devono utilizzare Instance Metadata Service versione 2 () IMDSv2

Requisiti correlati: CIS AWS Foundations Benchmark v3.0.0/5.6, NIST.800-53.r5 AC-3 (15) NIST.800-53.r5 AC-3, (7), NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6

Categoria: Proteggi > Sicurezza di rete

Gravità: alta

Tipo di risorsa: AWS::EC2::Instance

AWS Config regola: ec2-imdsv2-check

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se la versione dei metadati dell'EC2istanza è configurata con Instance Metadata Service versione 2 (). IMDSv2 Il controllo passa se HttpTokens è impostato su obbligatorio per. IMDSv2 Il controllo ha esito negativo se HttpTokens è impostato suoptional.

I metadati dell'istanza vengono utilizzati per configurare o gestire l'istanza in esecuzione. IMDSFornisce l'accesso a credenziali temporanee, che vengono ruotate frequentemente. Queste credenziali eliminano la necessità di codificare o distribuire credenziali riservate alle istanze manualmente o programmaticamente. IMDSÈ collegato localmente a ogni istanza. EC2 Funziona su uno speciale indirizzo IP «link local» di 169.254.169.254. Questo indirizzo IP è accessibile solo dal software in esecuzione sull'istanza.

La versione 2 di IMDS aggiunge nuove protezioni per i seguenti tipi di vulnerabilità. Queste vulnerabilità potrebbero essere utilizzate per provare ad accedere a. IMDS

Apri i firewall delle applicazioni del sito Web
Apri proxy inversi
Vulnerabilità relative alla falsificazione delle richieste () sul lato server SSRF
Firewall Open Layer 3 e traduzione degli indirizzi di rete () NAT

Security Hub consiglia di configurare le EC2 istanze conIMDSv2.

Correzione

Per configurare EC2 le istanze conIMDSv2, consulta il percorso consigliato per la richiesta IMDSv2 nella Amazon EC2 User Guide.

[EC2.9] EC2 Le istanze Amazon non devono avere un indirizzo pubblico IPv4

Requisiti correlati: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)

Categoria: Protezione > Configurazione di rete sicura > Risorse non accessibili al pubblico

Gravità: alta

Tipo di risorsa: AWS::EC2::Instance

AWS Config regola: ec2-instance-no-public-ip

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se EC2 le istanze hanno un indirizzo IP pubblico. Il controllo ha esito negativo se il publicIp campo è presente nell'elemento di configurazione dell'EC2istanza. Questo controllo si applica solo agli IPv4 indirizzi.

Un IPv4 indirizzo pubblico è un indirizzo IP raggiungibile da Internet. Se avvii l'istanza con un indirizzo IP pubblico, l'EC2istanza è raggiungibile da Internet. Un IPv4 indirizzo privato è un indirizzo IP che non è raggiungibile da Internet. È possibile utilizzare IPv4 indirizzi privati per la comunicazione tra EC2 istanze nella stessa rete privata VPC o nella rete privata connessa.

IPv6gli indirizzi sono unici a livello globale e pertanto sono raggiungibili da Internet. Tuttavia, per impostazione predefinita, tutte le sottoreti hanno l'attributo di IPv6 indirizzamento impostato su false. Per ulteriori informazioni in meritoIPv6, consulta la sezione relativa all'indirizzo IP VPC nella Amazon VPC User Guide.

Se hai un caso d'uso legittimo per gestire EC2 istanze con indirizzi IP pubblici, puoi eliminare i risultati di questo controllo. Per ulteriori informazioni sulle opzioni di architettura front-end, consulta il AWS Architecture Blog o la serie This Is My Architecture AWS serie di video.

Correzione

Utilizza un indirizzo non predefinito VPC in modo che all'istanza non venga assegnato un indirizzo IP pubblico per impostazione predefinita.

Quando avvii un'EC2istanza con un valore predefinitoVPC, a quest'ultima viene assegnato un indirizzo IP pubblico. Quando si avvia un'EC2istanza in modo non predefinitoVPC, la configurazione della sottorete determina se l'istanza riceve un indirizzo IP pubblico. La sottorete dispone di un attributo per determinare se le nuove EC2 istanze nella sottorete ricevono un indirizzo IP pubblico dal pool di indirizzi pubblici. IPv4

È possibile dissociare un indirizzo IP pubblico assegnato automaticamente dalla propria istanza. EC2 Per ulteriori informazioni, IPv4consulta Indirizzi pubblici e DNS nomi host esterni nella Amazon EC2 User Guide.

[EC2.10] Amazon EC2 deve essere configurato per utilizzare gli VPC endpoint creati per il servizio Amazon EC2

Requisiti correlati: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)

Categoria: Protezione > Configurazione di rete sicura > accesso API privato

Gravità: media

Tipo di risorsa: AWS::EC2::VPC

AWS Config regola: service-vpc-endpoint-enabled

Tipo di pianificazione: periodica

Parametri:

serviceName: ec2 (non personalizzabile)

Questo controllo verifica se per ognuno VPC di essi EC2 viene creato un endpoint di servizio per Amazon. Il controllo fallisce se a VPC non dispone di un VPC endpoint creato per il EC2 servizio Amazon.

Questo controllo valuta le risorse in un unico account. Non può descrivere risorse esterne all'account. Perché AWS Config e Security Hub non effettuano controlli su più account, ne vedrai FAILED i VPCs risultati condivisi tra gli account. Security Hub consiglia di eliminare questi FAILED risultati.

Per migliorare il livello di sicurezza del tuo dispositivoVPC, puoi configurare Amazon EC2 per utilizzare un VPC endpoint di interfaccia. Endpoint di interfaccia con tecnologia AWS PrivateLink, una tecnologia che consente di accedere alle EC2 API operazioni di Amazon in modo privato. Limita tutto il traffico di rete tra te VPC e Amazon EC2 verso la rete Amazon. Poiché gli endpoint sono supportati solo all'interno della stessa regione, non è possibile creare un endpoint tra un servizio VPC e un altro in una regione diversa. In questo modo si evitano EC2 API chiamate involontarie di Amazon verso altre regioni.

Per ulteriori informazioni sulla creazione di VPC endpoint per AmazonEC2, consulta Amazon EC2 e gli VPC endpoint di interfaccia nella Amazon EC2 User Guide.

Correzione

Per creare un endpoint di interfaccia verso Amazon EC2 dalla VPC console Amazon, consulta Creare un VPC endpoint nel AWS PrivateLink Guida. Per il nome del servizio, scegli com.amazonaws.region.ec2.

Puoi anche creare e allegare una policy sugli endpoint al tuo VPC endpoint per controllare l'accesso ad Amazon. EC2 API Per istruzioni sulla creazione di una policy per gli VPC endpoint, consulta la sezione Create an endpoint policy nella Amazon EC2 User Guide.

[EC2.12] Amazon non utilizzato EC2 EIPs deve essere rimosso

Requisiti correlati: PCI DSS v3.2.1/2.4, .800-53.r5 CM-8 (1) NIST

Categoria: Protezione > Configurazione di rete protetta

Gravità: bassa

Tipo di risorsa: AWS::EC2::EIP

AWS Config regola: eip-attached

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se gli indirizzi Elastic IP (EIP) allocati a a VPC sono collegati a EC2 istanze o interfacce di rete elastiche in uso (). ENIs

Un risultato non riuscito indica che potresti averne uno inutilizzato. EC2 EIPs

Ciò vi aiuterà a mantenere un inventario accurato degli asset EIPs presenti nell'ambiente di dati dei titolari della carta ()CDE.

Correzione

Per rilasciare un indirizzo IP inutilizzatoEIP, consulta Rilascio di un indirizzo IP elastico nella Amazon EC2 User Guide.

[EC2.13] I gruppi di sicurezza non devono consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 22

Requisiti correlati: CIS AWS Foundations Benchmark v1.2.0/4.1, PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/2.2.2, (21), (11), (16), NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4, (4), NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7 (5) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

Categoria: Protezione > Configurazione di rete protetta

Gravità: alta

Tipo di risorsa: AWS::EC2::SecurityGroup

AWS Config regola: restricted-ssh

Tipo di pianificazione: modifica attivata e periodica

Parametri: nessuno

Questo controllo verifica se un gruppo di EC2 sicurezza Amazon consente l'ingresso da 0.0.0.0/0 o: :/0 alla porta 22. Il controllo fallisce se il gruppo di sicurezza consente l'ingresso da 0.0.0.0/0 o: :/0 alla porta 22.

I gruppi di sicurezza forniscono un filtraggio statico del traffico di rete in ingresso e in uscita verso AWS risorse. È opportuno che nessun gruppo di sicurezza consenta accesso di entratata illimitato alla porta 22. La rimozione della connettività illimitata ai servizi di console remota, ad esempioSSH, riduce l'esposizione del server ai rischi.

Correzione

Per vietare l'accesso alla porta 22, rimuovi la regola che consente tale accesso per ogni gruppo di sicurezza associato a un. VPC Per istruzioni, consulta Aggiornare le regole dei gruppi di sicurezza nella Amazon EC2 User Guide. Dopo aver selezionato un gruppo di sicurezza nella EC2 console Amazon, scegli Azioni, Modifica regole in entrata. Rimuovi la regola che consente l'accesso alla porta 22.

[EC2.14] I gruppi di sicurezza non devono consentire l'accesso da 0.0.0.0/0 o: :/0 alla porta 3389

Requisiti correlati: CIS AWS Foundations Benchmark v1.2.0/4.2

Categoria: Protezione > Configurazione di rete protetta

Gravità: alta

Tipo di risorsa: AWS::EC2::SecurityGroup

AWS Config regola: restricted-common-ports(la regola creata èrestricted-rdp)

Tipo di pianificazione: modifica attivata e periodica

Parametri: nessuno

Questo controllo verifica se un gruppo di EC2 sicurezza Amazon consente l'ingresso da 0.0.0.0/0 o: :/0 alla porta 3389. Il controllo fallisce se il gruppo di sicurezza consente l'ingresso da 0.0.0.0/0 o: :/0 alla porta 3389.

I gruppi di sicurezza forniscono un filtraggio basato sullo stato del traffico di rete in ingresso e in uscita verso AWS risorse. È opportuno che nessun gruppo di sicurezza consenta accesso di entrata illimitato alla porta 3389. La rimozione della connettività illimitata ai servizi di console remota, ad esempioRDP, riduce l'esposizione del server ai rischi.

Correzione

Per vietare l'accesso alla porta 3389, rimuovi la regola che consente tale accesso per ogni gruppo di sicurezza associato a un. VPC Per istruzioni, consulta Aggiornare le regole dei gruppi di sicurezza nella Amazon VPC User Guide. Dopo aver selezionato un gruppo di sicurezza nella VPC console Amazon, scegli Azioni, Modifica regole in entrata. Rimuovi la regola che consente l'accesso alla porta 3389.

[EC2.15] Le EC2 sottoreti Amazon non devono assegnare automaticamente indirizzi IP pubblici

Requisiti correlati: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7 (11) NIST.800-53.r5 SC-7, (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7

Categoria: Proteggi > Sicurezza di rete

Gravità: media

Tipo di risorsa: AWS::EC2::Subnet

AWS Config regola: subnet-auto-assign-public-ip-disabled

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se l'assegnazione del pubblico IPs nelle sottoreti Amazon Virtual Private Cloud (AmazonVPC) è impostata su. MapPublicIpOnLaunch FALSE Il controllo passa se il flag è impostato su. FALSE

Tutte le sottoreti hanno un attributo che determina se un'interfaccia di rete creata nella sottorete riceve automaticamente un indirizzo pubblico. IPv4 Le istanze avviate in sottoreti con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale.

Correzione

Per configurare una sottorete in modo che non assegni indirizzi IP pubblici, consulta Modificare l'attributo di IPv4 indirizzamento pubblico per la sottorete nella Amazon VPC User Guide. Deseleziona la casella di controllo Abilita l'assegnazione automatica dell'indirizzo pubblico IPv4.

[EC2.16] Gli elenchi di controllo degli accessi alla rete non utilizzati devono essere rimossi

Requisiti correlati: NIST .800-53.r5 CM-8 (1)

Categoria: Proteggi > Sicurezza di rete

Gravità: bassa

Tipo di risorsa: AWS::EC2::NetworkAcl

AWS Config regola: vpc-network-acl-unused-check

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se ci sono liste di controllo degli accessi alla rete (reteACLs) non utilizzate nel tuo cloud privato virtuale (VPC). Il controllo fallisce se la rete ACL non è associata a una sottorete. Il controllo non genera risultati per una rete predefinita inutilizzata. ACL

Il controllo verifica la configurazione degli elementi della risorsa AWS::EC2::NetworkAcl e determina le relazioni della reteACL.

Se l'unica relazione è quella VPC della reteACL, il controllo fallisce.

Se sono elencate altre relazioni, il controllo passa.

Correzione

Per istruzioni sull'eliminazione di una rete inutilizzataACL, consulta Eliminazione di una rete ACL nella Amazon VPC User Guide. Non puoi eliminare la rete predefinita ACL o una rete associata alle ACL sottoreti.

[EC2.17] EC2 Le istanze Amazon non devono utilizzare più istanze ENIs

Requisiti correlati: NIST.800-53.r5 AC-4 (21)

Categoria: Proteggi > Sicurezza di rete

Gravità: bassa

Tipo di risorsa: AWS::EC2::Instance

AWS Config regola: ec2-instance-multiple-eni-check

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se un'EC2istanza utilizza più Elastic Network Interfaces (ENIs) o Elastic Fabric Adapters (). EFAs Questo controllo passa se viene utilizzata una singola scheda di rete. Il controllo include un elenco di parametri opzionale per identificare i parametri consentitiENIs. Questo controllo fallisce anche se un'EC2istanza appartenente a un EKS cluster Amazon ne utilizza più di unoENI. Se le tue EC2 istanze devono avere più istanze ENIs come parte di un EKS cluster Amazon, puoi eliminare tali risultati di controllo.

Più istanze ENIs possono causare istanze dual-homed, ossia istanze con più sottoreti. Ciò può aumentare la complessità della sicurezza della rete e introdurre percorsi e accessi di rete indesiderati.

Correzione

Per scollegare un'interfaccia di rete da un'EC2istanza, consulta Scollegare un'interfaccia di rete da un'istanza nella Amazon EC2 User Guide.

[EC2.18] I gruppi di sicurezza devono consentire il traffico in entrata senza restrizioni solo per le porte autorizzate

Requisiti correlati: NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21), (4), NIST.800-53.r5 SC-7 (5) NIST.800-53.r5 SC-7

Categoria: Protezione > Configurazione di rete sicura > Configurazione del gruppo di sicurezza

Gravità: alta

Tipo di risorsa: AWS::EC2::SecurityGroup

AWS Config regola: vpc-sg-open-only-to-authorized-ports

Tipo di pianificazione: modifica attivata

Parametri:

Parametro	Descrizione	Tipo	Valori personalizzati consentiti	Valore predefinito di Security Hub
`authorizedTcpPorts`	Elenco delle TCP porte autorizzate	IntegerList (minimo 1 articolo e massimo 32 articoli)	`1` Da a `65535`	`[80,443]`
`authorizedUdpPorts`	Elenco delle UDP porte autorizzate	IntegerList (minimo 1 articolo e massimo 32 articoli)	`1` Da a `65535`	Nessun valore predefinito

Questo controllo verifica se un gruppo di EC2 sicurezza Amazon consente il traffico in entrata senza restrizioni da porte non autorizzate. Lo stato del controllo è determinato come segue:

Se si utilizza il valore predefinito perauthorizedTcpPorts, il controllo ha esito negativo se il gruppo di sicurezza consente il traffico in entrata senza restrizioni da qualsiasi porta diversa dalle porte 80 e 443.
Se fornisci valori personalizzati per authorizedTcpPorts oauthorizedUdpPorts, il controllo ha esito negativo se il gruppo di sicurezza consente il traffico in entrata senza restrizioni da qualsiasi porta non elencata.
Se non viene utilizzato alcun parametro, il controllo ha esito negativo per qualsiasi gruppo di sicurezza con una regola del traffico in entrata senza restrizioni.

I gruppi di sicurezza forniscono un filtraggio statico del traffico di rete in ingresso e in uscita verso AWS. Le regole dei gruppi di sicurezza devono seguire il principio dell'accesso con privilegi minimi. L'accesso illimitato (indirizzo IP con suffisso /0) aumenta la possibilità di attività dannose come pirateria informatica, denial-of-service attacchi e perdita di dati. A meno che una porta non sia espressamente consentita, la porta dovrebbe negare l'accesso illimitato.

Correzione

Per modificare un gruppo di sicurezza, consulta Work with security groups nella Amazon VPC User Guide.

[EC2.19] I gruppi di sicurezza non devono consentire l'accesso illimitato alle porte ad alto rischio

Requisiti correlati: NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 CA-9 (1) NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5)

Categoria: Protezione > Accesso limitato alla rete

Severità: critica

Tipo di risorsa: AWS::EC2::SecurityGroup

AWS Config regola: restricted-common-ports(la regola creata èvpc-sg-restricted-common-ports)

Tipo di pianificazione: modifica attivata e periodica

Parametri: "blockedPorts": "20,21,22,23,25,110,135,143,445,1433,1434,3000,3306,3389,4333,5000,5432,5500,5601,8080,8088,8888,9200,9300" (non personalizzabile)

Questo controllo verifica se il traffico in entrata senza restrizioni per un gruppo EC2 di sicurezza Amazon è accessibile alle porte specificate considerate ad alto rischio. Questo controllo ha esito negativo se una delle regole di un gruppo di sicurezza consente il traffico in ingresso da '0.0.0.0/0' o ': :/0' verso quelle porte.

I gruppi di sicurezza forniscono un filtraggio statico del traffico di rete in ingresso e in uscita verso AWS risorse. L'accesso senza restrizioni (0.0.0.0/0) aumenta le opportunità di attività dannose, come pirateria informatica, attacchi e perdita di dati. denial-of-service Nessun gruppo di sicurezza dovrebbe consentire l'accesso illimitato alle seguenti porte:

20, 21 () FTP
22 (SSH)
23 (Telnet)
25 () SMTP
10 (POP3)
135 (RPC)
143 (IMAP)
45 (CIFS)
1433, 1434 () MSSQL
3000 (framework di sviluppo web Go, Node.js e Ruby)
3306 (mio) SQL
3389 () RDP
4333 (ahsp)
5000 (framework di sviluppo web in Python)
5432 (postgresql)
5500 (1) fcp-addr-srvr
5601 (Cruscotti) OpenSearch
8080 (proxy)
8088 (porta precedenteHTTP)
8888 (HTTPporta alternativa)
9200 o 9300 () OpenSearch

Correzione

Per eliminare le regole da un gruppo di sicurezza, consulta Delete rules from a security group nella Amazon EC2 User Guide.

[EC2.20] Entrambi i VPN tunnel per un AWS La connessione da sito a sito dovrebbe essere attiva VPN

Requisiti correlati: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)

Categoria: Recupero > Resilienza > Alta disponibilità

Gravità: media

Tipo di risorsa: AWS::EC2::VPNConnection

AWS Config regola: vpc-vpn-2-tunnels-up

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Un VPN tunnel è un collegamento crittografato in cui i dati possono passare dalla rete del cliente a o da AWS all'interno di un AWS Connessione da sito a sitoVPN. Ogni VPN connessione include due VPN tunnel che è possibile utilizzare contemporaneamente per un'elevata disponibilità. Garantire che entrambi VPN i tunnel siano attivi per una VPN connessione è importante per confermare una connessione sicura e ad alta disponibilità tra un AWS VPCe la tua rete remota.

Questo controllo verifica che entrambi i VPN tunnel siano forniti da AWS Lo stato Site-to-Site è impostato su VPN UP. Il controllo fallisce se uno o entrambi i tunnel sono in stato. DOWN

Correzione

Per modificare le opzioni VPN del tunnel, consulta Modifica delle opzioni del tunnel da sito a sito VPN nella AWS Guida per l'utente da sito a sito. VPN

[EC2.21] La rete non ACLs dovrebbe consentire l'ingresso dalla porta 0.0.0.0/0 alla porta 22 o alla porta 3389

Requisiti correlati: CIS AWS Foundations Benchmark v1.4.0/5.1, CIS AWS Fondamenti di Benchmark v3.0.0/5.1, NIST.800-53.r5 AC-4 (21), (1), (21), NIST.800-53.r5 CA-9 (5) NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

Categoria: Protezione > Configurazione di rete sicura

Gravità: media

Tipo di risorsa: AWS::EC2::NetworkAcl

AWS Config regola: nacl-no-unrestricted-ssh-rdp

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se una lista di controllo degli accessi alla rete (reteACL) consente l'accesso illimitato alle TCP porte predefinite per il trafficoSSH/in RDP ingresso. Il controllo fallisce se la voce di rete ACL in entrata consente un CIDR blocco sorgente di '0.0.0.0/0' o ': :/0' per le porte 22 o 3389. TCP Il controllo non genera risultati per una rete predefinita. ACL

L'accesso alle porte di amministrazione remota del server, come la porta 22 (SSH) e la porta 3389 (RDP), non dovrebbe essere accessibile al pubblico, in quanto ciò potrebbe consentire l'accesso non intenzionale alle risorse interne dell'utente. VPC

Correzione

Per modificare le regole ACL del traffico di rete, consulta Work with network ACLs nella Amazon VPC User Guide.

[EC2.22] I gruppi di EC2 sicurezza Amazon non utilizzati devono essere rimossi

Importante

RETIREDFROMSPECIFICSTANDARDS— Security Hub ha rimosso questo controllo il 20 settembre 2023 dal AWS Standard Foundational Security Best Practices e NIST SP 800-53 Rev. 5. Questo controllo fa ancora parte di Service-Managed Standard: AWS Control Tower. Questo controllo restituisce un risultato positivo se i gruppi di sicurezza sono collegati a EC2 istanze o a un'interfaccia di rete elastica. Tuttavia, in alcuni casi d'uso, i gruppi di sicurezza non collegati non rappresentano un rischio per la sicurezza. Puoi utilizzare altri EC2 controlli, ad esempio EC2 .2, EC2 .13, EC2 .14, EC2 .18 e.19, per monitorare i tuoi gruppi di sicurezza. EC2

Categoria: Identificazione > Inventario

Gravità: media

AWS::EC2::NetworkInterfaceTipo di risorsa:, AWS::EC2::SecurityGroup

AWS Config regola: ec2-security-group-attached-to-eni-periodic

Tipo di pianificazione: periodica

Parametri: nessuno

Questo controllo verifica se i gruppi di sicurezza sono collegati a istanze Amazon Elastic Compute Cloud (AmazonEC2) o a un'interfaccia di rete elastica. Il controllo fallisce se il gruppo di sicurezza non è associato a un'EC2istanza Amazon o a un'interfaccia di rete elastica.

Correzione

Per creare, assegnare ed eliminare gruppi di sicurezza, consulta la guida per EC2 l'utente dei gruppi di sicurezza di Amazon.

[EC2.23] Amazon EC2 Transit Gateways non dovrebbe accettare VPC automaticamente le richieste di allegati

Requisiti correlati: NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 CA-9 (1), .800-53.r5 CM-2 NIST

Categoria: Protezione > Configurazione di rete protetta

Gravità: alta

Tipo di risorsa: AWS::EC2::TransitGateway

AWS Config regola: ec2-transit-gateway-auto-vpc-attach-disabled

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se i gateway di EC2 transito accettano automaticamente gli allegati condivisiVPC. Questo controllo non riesce per un gateway di transito che accetta automaticamente richieste di VPC allegati condivisi.

L'attivazione AutoAcceptSharedAttachments configura un gateway di transito per accettare automaticamente qualsiasi richiesta di VPC allegati tra più account senza verificare la richiesta o l'account da cui proviene l'allegato. Per seguire le migliori pratiche di autorizzazione e autenticazione, consigliamo di disattivare questa funzionalità per garantire che vengano accettate solo le richieste di VPC allegati autorizzate.

Correzione

Per modificare un gateway di transito, consulta Modificare un gateway di transito nella Amazon VPC Developer Guide.

[EC2.24] I tipi di istanze EC2 paravirtuali di Amazon non devono essere utilizzati

Requisiti correlati: NIST .800-53.r5 CM-2, .800-53.r5 CM-2 (2) NIST

Categoria: Identificazione > Gestione di vulnerabilità, patch e versioni

Gravità: media

Tipo di risorsa: AWS::EC2::Instance

AWS Config regola: ec2-paravirtual-instance-check

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se il tipo di virtualizzazione di un'EC2istanza è paravirtuale. Il controllo ha esito negativo se l'opzione virtualizationType dell'EC2istanza è impostata su. paravirtual

Linux Amazon Machine Images (AMIs) utilizza uno dei due tipi di virtualizzazione: paravirtuale (PV) o macchina virtuale hardware (). HVM Le principali differenze tra PV e PV HVM AMIs riguardano il modo in cui si avviano e la possibilità di sfruttare estensioni hardware speciali (CPUrete e storage) per prestazioni migliori.

In passato, gli ospiti PV avevano prestazioni migliori rispetto ai guest HVM in molti casi, ma a causa dei miglioramenti apportati alla HVM virtualizzazione e alla disponibilità di driver PV per HVMAMIs, questo non è più vero. Per ulteriori informazioni, consulta i tipi di AMI virtualizzazione Linux nella Amazon EC2 User Guide.

Correzione

Per aggiornare un'EC2istanza a un nuovo tipo di istanza, consulta Cambia il tipo di istanza nella Amazon EC2 User Guide.

[EC2.25] I modelli di EC2 lancio di Amazon non devono assegnare interfacce IPs di rete pubbliche

Requisiti correlati: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7

Categoria: Protezione > Configurazione di rete sicura > Risorse non accessibili al pubblico

Gravità: alta

Tipo di risorsa: AWS::EC2::LaunchTemplate

AWS Config regola: ec2-launch-template-public-ip-disabled

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se i modelli di EC2 avvio di Amazon sono configurati per assegnare indirizzi IP pubblici alle interfacce di rete al momento dell'avvio. Il controllo fallisce se un modello di EC2 avvio è configurato per assegnare un indirizzo IP pubblico alle interfacce di rete o se esiste almeno un'interfaccia di rete con un indirizzo IP pubblico.

Un indirizzo IP pubblico è raggiungibile da Internet. Se configuri le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete potrebbero essere raggiungibili da Internet. EC2le risorse non dovrebbero essere accessibili al pubblico perché ciò potrebbe consentire l'accesso involontario ai carichi di lavoro.

Correzione

Per aggiornare un modello di EC2 lancio, consulta Modifica delle impostazioni predefinite dell'interfaccia di rete nella Amazon EC2 Auto Scaling User Guide.

[EC2.28] EBS i volumi devono essere coperti da un piano di backup

Categoria: Recover > Resilience > Backup abilitati

Requisiti correlati: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-12, .800-53.r5 SI-13 (5) NIST

Gravità: bassa

Tipo di risorsa: AWS::EC2::Volume

AWS Config regola: ebs-resources-protected-by-backup-plan

Tipo di pianificazione: periodica

Parametri:

Parametro	Descrizione	Tipo	Valori personalizzati consentiti	Valore predefinito di Security Hub
`backupVaultLockCheck`	Il controllo restituisce un `PASSED` risultato se il parametro è impostato su `true` e la risorsa lo utilizza AWS Backup Blocco del caveau.	Booleano	`true` o `false`	Nessun valore predefinito

Questo controllo valuta se un EBS volume Amazon in in-use stato è coperto da un piano di backup. Il controllo fallisce se un EBS volume non è coperto da un piano di backup. Se si imposta il backupVaultLockCheck parametro uguale atrue, il controllo passa solo se viene eseguito il backup EBS del volume in un AWS Backup cassaforte chiusa a chiave.

I backup consentono di ripristinare più rapidamente un incidente di sicurezza. Inoltre, rafforzano la resilienza dei sistemi. L'inclusione EBS dei volumi Amazon in un piano di backup ti aiuta a proteggere i tuoi dati da perdite o cancellazioni involontarie.

Correzione

Per aggiungere un EBS volume Amazon a un AWS Backup piano di backup, consulta Assegnazione di risorse a un piano di backup nella AWS Backup Guida per gli sviluppatori.

[EC2.33] Gli allegati del gateway di EC2 transito devono essere etichettati

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::TransitGatewayAttachment

AWS Config regola: tagged-ec2-transitgatewayattachment (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro	Descrizione	Tipo	Valori personalizzati consentiti	Valore predefinito di Security Hub
`requiredTagKeys`	Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. Le chiavi dei tag prevedono una distinzione tra lettere maiuscole e minuscole.	StringList	Elenco dei tag che soddisfano AWS requisiti	Nessun valore predefinito

Questo controllo verifica se un allegato Amazon EC2 Transit Gateway ha tag con le chiavi specifiche definite nel parametrorequiredTagKeys. Il controllo fallisce se l'allegato Transit Gateway non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave tag e fallisce se l'allegato del gateway di transito non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Un tag è un'etichetta che si assegna a AWS risorsa ed è costituita da una chiave e da un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza il tagging, è possibile implementare il controllo di accesso basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. È possibile allegare tag alle IAM entità (utenti o ruoli) e a AWS risorse. È possibile creare una singola ABAC politica o un insieme separato di politiche per IAM i responsabili. È possibile progettare queste ABAC politiche per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa ABAC serve AWS? nella Guida IAM per l'utente.

Nota

Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui AWS Billing. Per ulteriori best practice in materia di tagging, consulta Tagging your AWS risorse in Riferimenti generali di AWS.

Correzione

Per aggiungere tag a un allegato EC2 Transit Gateway, consulta Tagga le tue EC2 risorse Amazon nella Amazon EC2 User Guide.

[EC2.34] Le tabelle delle rotte dei gateway di EC2 transito devono essere etichettate

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::TransitGatewayRouteTable

AWS Config regola: tagged-ec2-transitgatewayroutetable (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro	Descrizione	Tipo	Valori personalizzati consentiti	Valore predefinito di Security Hub
`requiredTagKeys`	Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. Le chiavi dei tag prevedono una distinzione tra lettere maiuscole e minuscole.	StringList	Elenco dei tag che soddisfano AWS requisiti	Nessun valore predefinito

Questo controllo verifica se una tabella di routing di Amazon EC2 Transit Gateway contiene tag con le chiavi specifiche definite nel parametrorequiredTagKeys. Il controllo ha esito negativo se la tabella di routing del gateway di transito non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se la tabella di route del gateway di transito non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Nota

Correzione

Per aggiungere tag a una tabella di routing di un gateway di EC2 transito, consulta Tagga le tue EC2 risorse Amazon nella Amazon EC2 User Guide.

[EC2.35] le interfacce EC2 di rete devono essere etichettate

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::NetworkInterface

AWS Config regola: tagged-ec2-networkinterface (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro	Descrizione	Tipo	Valori personalizzati consentiti	Valore predefinito di Security Hub
`requiredTagKeys`	Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. Le chiavi dei tag prevedono una distinzione tra lettere maiuscole e minuscole.	StringList	Elenco dei tag che soddisfano AWS requisiti	Nessun valore predefinito

Questo controllo verifica se un'interfaccia EC2 di rete Amazon ha tag con le chiavi specifiche definite nel parametrorequiredTagKeys. Il controllo fallisce se l'interfaccia di rete non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'interfaccia di rete non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Nota

Correzione

Per aggiungere tag a un'interfaccia EC2 di rete, consulta Tagga le tue EC2 risorse Amazon nella Amazon EC2 User Guide.

[EC2.36] I gateway per i EC2 clienti devono essere etichettati

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::CustomerGateway

AWS Config regola: tagged-ec2-customergateway (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro	Descrizione	Tipo	Valori personalizzati consentiti	Valore predefinito di Security Hub
`requiredTagKeys`	Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. Le chiavi dei tag prevedono una distinzione tra lettere maiuscole e minuscole.	StringList	Elenco dei tag che soddisfano AWS requisiti	Nessun valore predefinito

Questo controllo verifica se un gateway per EC2 clienti Amazon dispone di tag con le chiavi specifiche definite nel parametrorequiredTagKeys. Il controllo fallisce se il gateway del cliente non dispone di chiavi di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il gateway del cliente non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Nota

Correzione

Per aggiungere tag a un EC2 customer gateway, consulta Tagga le tue EC2 risorse Amazon nella Amazon EC2 User Guide.

[EC2.37] Gli indirizzi IP EC2 elastici devono essere etichettati

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::EIP

AWS Config regola: tagged-ec2-eip (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro	Descrizione	Tipo	Valori personalizzati consentiti	Valore predefinito di Security Hub
`requiredTagKeys`	Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. Le chiavi dei tag prevedono una distinzione tra lettere maiuscole e minuscole.	StringList	Elenco dei tag che soddisfano AWS requisiti	Nessun valore predefinito

Questo controllo verifica se un indirizzo IP Amazon EC2 Elastic ha tag con le chiavi specifiche definite nel parametrorequiredTagKeys. Il controllo fallisce se l'indirizzo IP elastico non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'indirizzo IP elastico non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Nota

Correzione

Per aggiungere tag a un indirizzo IP EC2 elastico, consulta Tagga le tue EC2 risorse Amazon nella Amazon EC2 User Guide.

[EC2.38] EC2 le istanze devono essere etichettate

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::Instance

AWS Config regola: tagged-ec2-instance (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro	Descrizione	Tipo	Valori personalizzati consentiti	Valore predefinito di Security Hub
`requiredTagKeys`	Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. Le chiavi dei tag prevedono una distinzione tra lettere maiuscole e minuscole.	StringList	Elenco dei tag che soddisfano AWS requisiti	Nessun valore predefinito

Questo controllo verifica se un'EC2istanza Amazon ha tag con le chiavi specifiche definite nel parametrorequiredTagKeys. Il controllo fallisce se l'istanza non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'istanza non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Nota

Correzione

Per aggiungere tag a un'EC2istanza, consulta Tagga le tue EC2 risorse Amazon nella Amazon EC2 User Guide.

[EC2.39] i gateway EC2 Internet devono essere etichettati

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::InternetGateway

AWS Config regola: tagged-ec2-internetgateway (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro	Descrizione	Tipo	Valori personalizzati consentiti	Valore predefinito di Security Hub
`requiredTagKeys`	Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. Le chiavi dei tag prevedono una distinzione tra lettere maiuscole e minuscole.	StringList	Elenco dei tag che soddisfano AWS requisiti	Nessun valore predefinito

Questo controllo verifica se un gateway EC2 Internet Amazon dispone di tag con le chiavi specifiche definite nel parametrorequiredTagKeys. Il controllo fallisce se il gateway Internet non dispone di chiavi di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave tag e fallisce se il gateway Internet non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Nota

Correzione

Per aggiungere tag a un gateway EC2 Internet, consulta Tagga le tue EC2 risorse Amazon nella Amazon EC2 User Guide.

[EC2.40] i EC2 NAT gateway devono essere etichettati

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::NatGateway

AWS Config regola: tagged-ec2-natgateway (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro	Descrizione	Tipo	Valori personalizzati consentiti	Valore predefinito di Security Hub
`requiredTagKeys`	Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. Le chiavi dei tag prevedono una distinzione tra lettere maiuscole e minuscole.	StringList	Elenco dei tag che soddisfano AWS requisiti	Nessun valore predefinito

Questo controllo verifica se un gateway di traduzione degli indirizzi di EC2 rete Amazon (NAT) dispone di tag con le chiavi specifiche definite nel parametrorequiredTagKeys. Il controllo fallisce se il NAT gateway non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il NAT gateway non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Nota

Correzione

Per aggiungere tag a un EC2 NAT gateway, consulta Tagga le tue EC2 risorse Amazon nella Amazon EC2 User Guide.

[EC2.41] la EC2 rete ACLs deve essere etichettata

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::NetworkAcl

AWS Config regola: tagged-ec2-networkacl (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro	Descrizione	Tipo	Valori personalizzati consentiti	Valore predefinito di Security Hub
`requiredTagKeys`	Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. Le chiavi dei tag prevedono una distinzione tra lettere maiuscole e minuscole.	StringList	Elenco dei tag che soddisfano AWS requisiti	Nessun valore predefinito

Questo controllo verifica se una lista di controllo degli accessi alla EC2 rete Amazon (reteACL) contiene tag con le chiavi specifiche definite nel parametrorequiredTagKeys. Il controllo fallisce se la rete ACL non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se la rete ACL non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Nota

Correzione

Per aggiungere tag a una EC2 reteACL, consulta Tagga le tue EC2 risorse Amazon nella Amazon EC2 User Guide.

[EC2.42] le tabelle delle EC2 rotte devono essere etichettate

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::RouteTable

AWS Config regola: tagged-ec2-routetable (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro	Descrizione	Tipo	Valori personalizzati consentiti	Valore predefinito di Security Hub
`requiredTagKeys`	Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. Le chiavi dei tag prevedono una distinzione tra lettere maiuscole e minuscole.	StringList	Elenco dei tag che soddisfano AWS requisiti	Nessun valore predefinito

Questo controllo verifica se una tabella di EC2 routing di Amazon contiene tag con le chiavi specifiche definite nel parametrorequiredTagKeys. Il controllo fallisce se la tabella di routing non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se la tabella delle rotte non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Nota

Correzione

Per aggiungere tag a una tabella di EC2 routing, consulta Tagga le tue EC2 risorse Amazon nella Amazon EC2 User Guide.

[EC2.43] i gruppi EC2 di sicurezza devono essere etichettati

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::SecurityGroup

AWS Config regola: tagged-ec2-securitygroup (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro	Descrizione	Tipo	Valori personalizzati consentiti	Valore predefinito di Security Hub
`requiredTagKeys`	Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. Le chiavi dei tag prevedono una distinzione tra lettere maiuscole e minuscole.	StringList	Elenco dei tag che soddisfano AWS requisiti	Nessun valore predefinito

Questo controllo verifica se un gruppo EC2 di sicurezza Amazon dispone di tag con le chiavi specifiche definite nel parametrorequiredTagKeys. Il controllo fallisce se il gruppo di sicurezza non dispone di chiavi di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il gruppo di sicurezza non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Nota

Correzione

Per aggiungere tag a un gruppo EC2 di sicurezza, consulta Tagga le tue EC2 risorse Amazon nella Amazon EC2 User Guide.

[EC24.4] le EC2 sottoreti devono essere etichettate

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::Subnet

AWS Config regola: tagged-ec2-subnet (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro	Descrizione	Tipo	Valori personalizzati consentiti	Valore predefinito di Security Hub
`requiredTagKeys`	Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. Le chiavi dei tag prevedono una distinzione tra lettere maiuscole e minuscole.	StringList	Elenco dei tag che soddisfano AWS requisiti	Nessun valore predefinito

Questo controllo verifica se una EC2 sottorete Amazon dispone di tag con le chiavi specifiche definite nel parametrorequiredTagKeys. Il controllo fallisce se la sottorete non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro. requiredTagKeys Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se la sottorete non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Nota

Correzione

Per aggiungere tag a una EC2 sottorete, consulta Etichettare EC2 le risorse Amazon nella Amazon EC2 User Guide.

[EC2.45] i EC2 volumi devono essere etichettati

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::Volume

AWS Config regola: tagged-ec2-subnet (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro	Descrizione	Tipo	Valori personalizzati consentiti	Valore predefinito di Security Hub
`requiredTagKeys`	Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. Le chiavi dei tag prevedono una distinzione tra lettere maiuscole e minuscole.	StringList	Elenco dei tag che soddisfano AWS requisiti	Nessun valore predefinito

Questo controllo verifica se un EC2 volume Amazon ha tag con le chiavi specifiche definite nel parametrorequiredTagKeys. Il controllo fallisce se il volume non ha alcuna chiave tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il volume non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Nota

Correzione

Per aggiungere tag a un EC2 volume, consulta Tagga le tue EC2 risorse Amazon nella Amazon EC2 User Guide.

[EC2.46] Amazon VPCs dovrebbe essere taggato

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::VPC

AWS Config regola: tagged-ec2-vpc (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro	Descrizione	Tipo	Valori personalizzati consentiti	Valore predefinito di Security Hub
`requiredTagKeys`	Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. Le chiavi dei tag prevedono una distinzione tra lettere maiuscole e minuscole.	StringList	Elenco dei tag che soddisfano AWS requisiti	Nessun valore predefinito

Questo controllo verifica se un Amazon Virtual Private Cloud (AmazonVPC) dispone di tag con le chiavi specifiche definite nel parametrorequiredTagKeys. Il controllo fallisce se Amazon VPC non dispone di chiavi di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave tag e fallisce se Amazon VPC non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Nota

Correzione

Per aggiungere tag a unVPC, consulta Tagga le tue EC2 risorse Amazon nella Amazon EC2 User Guide.

[EC2.47] I servizi VPC endpoint di Amazon devono essere etichettati

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::VPCEndpointService

AWS Config regola: tagged-ec2-vpcendpointservice (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro	Descrizione	Tipo	Valori personalizzati consentiti	Valore predefinito di Security Hub
`requiredTagKeys`	Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. Le chiavi dei tag prevedono una distinzione tra lettere maiuscole e minuscole.	StringList	Elenco dei tag che soddisfano AWS requisiti	Nessun valore predefinito

Questo controllo verifica se un servizio VPC endpoint Amazon dispone di tag con le chiavi specifiche definite nel parametrorequiredTagKeys. Il controllo fallisce se il servizio endpoint non dispone di chiavi di tag o se non ha tutte le chiavi specificate nel parametro. requiredTagKeys Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il servizio endpoint non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Nota

Correzione

Per aggiungere tag a un servizio VPC endpoint Amazon, consulta Manage Tags nella sezione Configura un servizio endpoint del AWS PrivateLink Guida.

[EC2.48] I log di VPC flusso di Amazon devono essere etichettati

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::FlowLog

AWS Config regola: tagged-ec2-flowlog (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro	Descrizione	Tipo	Valori personalizzati consentiti	Valore predefinito di Security Hub
`requiredTagKeys`	Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. Le chiavi dei tag prevedono una distinzione tra lettere maiuscole e minuscole.	StringList	Elenco dei tag che soddisfano AWS requisiti	Nessun valore predefinito

Questo controllo verifica se un log di VPC flusso di Amazon contiene tag con le chiavi specifiche definite nel parametrorequiredTagKeys. Il controllo fallisce se il log di flusso non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il log di flusso non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Nota

Correzione

Per aggiungere tag a un log di VPC flusso Amazon, consulta Etichettare un log di flusso nella Amazon VPC User Guide.

[EC2.49] Le connessioni VPC peering di Amazon devono essere etichettate

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::VPCPeeringConnection

AWS Config regola: tagged-ec2-vpcpeeringconnection (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro	Descrizione	Tipo	Valori personalizzati consentiti	Valore predefinito di Security Hub
`requiredTagKeys`	Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. Le chiavi dei tag prevedono una distinzione tra lettere maiuscole e minuscole.	StringList	Elenco dei tag che soddisfano AWS requisiti	Nessun valore predefinito

Questo controllo verifica se una connessione VPC peering Amazon ha tag con le chiavi specifiche definite nel parametrorequiredTagKeys. Il controllo fallisce se la connessione peering non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro. requiredTagKeys Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se la connessione peering non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Nota

Correzione

Per aggiungere tag a una connessione VPC peering Amazon, consulta Tagga le tue EC2 risorse Amazon nella Amazon EC2 User Guide.

[EC2.50] i EC2 VPN gateway devono essere etichettati

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::VPNGateway

AWS Config regola: tagged-ec2-vpngateway (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro	Descrizione	Tipo	Valori personalizzati consentiti	Valore predefinito di Security Hub
`requiredTagKeys`	Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. Le chiavi dei tag prevedono una distinzione tra lettere maiuscole e minuscole.	StringList	Elenco dei tag che soddisfano AWS requisiti	Nessun valore predefinito

Questo controllo verifica se un EC2 VPN gateway Amazon dispone di tag con le chiavi specifiche definite nel parametrorequiredTagKeys. Il controllo fallisce se il VPN gateway non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il VPN gateway non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Nota

Correzione

Per aggiungere tag a un EC2 VPN gateway, consulta Tagga le tue EC2 risorse Amazon nella Amazon EC2 User Guide.

[EC2.51] VPN Gli endpoint EC2 client devono avere la registrazione delle connessioni client abilitata

Requisiti correlati: NIST.800-53.r5 AC-2 (12), (4), NIST.800-53.r5 AC-2 (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, .800-53.r5 SI-4, .800-53.r5 SI-4 (20), NIST .800-53.r5 SI-7 (8) NIST NIST

Categoria: Identificazione > Registrazione

Gravità: bassa

Tipo di risorsa: AWS::EC2::ClientVpnEndpoint

AWS Config regola: ec2-client-vpn-connection-log-enabled

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se un AWS Client VPN sull'endpoint è abilitata la registrazione della connessione del client. Il controllo fallisce se sull'endpoint non è abilitata la registrazione delle connessioni client.

VPNGli endpoint client consentono ai client remoti di connettersi in modo sicuro alle risorse in un Virtual Private Cloud () in VPC AWS. I log di connessione consentono di tenere traccia delle attività degli utenti sull'VPNendpoint e forniscono visibilità. Quando attivi la registrazione delle connessioni, puoi specificare il nome di un flusso di log nel gruppo di log. Se non specifichi un flusso di log, il VPN servizio Client ne crea uno automaticamente.

Correzione

Per abilitare la registrazione delle connessioni, consulta Abilitare la registrazione delle connessioni per un VPN endpoint Client esistente nel AWS Client VPN Guida per l'amministratore.

[EC2.52] i gateway di EC2 transito devono essere etichettati

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::TransitGateway

AWS Config regola: tagged-ec2-transitgateway (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro	Descrizione	Tipo	Valori personalizzati consentiti	Valore predefinito di Security Hub
`requiredTagKeys`	Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. Le chiavi dei tag prevedono una distinzione tra lettere maiuscole e minuscole.	StringList	Elenco dei tag che soddisfano AWS requisiti	`No default value`

Questo controllo verifica se un gateway di EC2 transito Amazon dispone di tag con le chiavi specifiche definite nel parametrorequiredTagKeys. Il controllo fallisce se il gateway di transito non dispone di chiavi di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il gateway di transito non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Nota

Correzione

Per aggiungere tag a un gateway di EC2 transito, consulta Tagga le tue EC2 risorse Amazon nella Amazon EC2 User Guide.

[EC2.53] i gruppi EC2 di sicurezza non dovrebbero consentire l'accesso da 0.0.0.0/0 alle porte di amministrazione remota del server

Requisiti correlati: CIS AWS Foundations Benchmark v3.0.0/5.2

Categoria: Protezione > Configurazione di rete sicura > Configurazione del gruppo di sicurezza

Gravità: alta

Tipo di risorsa: AWS::EC2::SecurityGroup

AWS Config regola: vpc-sg-port-restriction-check

Tipo di pianificazione: periodica

Parametri:

Parametro	Descrizione	Tipo	Valori personalizzati consentiti	Valore predefinito di Security Hub
`ipType`	La versione IP	Stringa	Non personalizzabile	`IPv4`
`restrictPorts`	Elenco di porte che dovrebbero rifiutare il traffico in ingresso	IntegerList	Non personalizzabile	`22,3389`

Questo controllo verifica se un gruppo di EC2 sicurezza Amazon consente l'ingresso da 0.0.0.0/0 alle porte di amministrazione remota del server (porte 22 e 3389). Il controllo fallisce se il gruppo di sicurezza consente l'ingresso da 0.0.0.0/0 alla porta 22 o 3389.

I gruppi di sicurezza forniscono un filtraggio statico del traffico di rete in ingresso e in uscita verso AWS risorse. È consigliabile che nessun gruppo di sicurezza consenta l'accesso illimitato alle porte di amministrazione remota del server, ad esempio SSH alla porta 22 e RDP alla porta 3389, utilizzando i protocolli TDP (6), UDP (17) o ALL (-1). Consentire l'accesso pubblico a queste porte aumenta la superficie di attacco delle risorse e il rischio di compromissione delle risorse.

Correzione

Per aggiornare una regola del gruppo EC2 di sicurezza per vietare il traffico in ingresso verso le porte specificate, consulta Update security group rules nella Amazon EC2 User Guide. Dopo aver selezionato un gruppo di sicurezza nella EC2 console Amazon, scegli Azioni, Modifica regole in entrata. Rimuovi la regola che consente l'accesso alla porta 22 o alla porta 3389.

[EC2.54] i gruppi EC2 di sicurezza non dovrebbero consentire l'accesso da: :/0 alle porte di amministrazione remota del server

Requisiti correlati: CIS AWS Foundations Benchmark v3.0.0/5.3

Categoria: Protezione > Configurazione di rete sicura > Configurazione del gruppo di sicurezza

Gravità: alta

Tipo di risorsa: AWS::EC2::SecurityGroup

AWS Config regola: vpc-sg-port-restriction-check

Tipo di pianificazione: periodica

Parametri:

Parametro	Descrizione	Tipo	Valori personalizzati consentiti	Valore predefinito di Security Hub
`ipType`	La versione IP	Stringa	Non personalizzabile	`IPv6`
`restrictPorts`	Elenco di porte che dovrebbero rifiutare il traffico in ingresso	IntegerList	Non personalizzabile	`22,3389`

Questo controllo verifica se un gruppo di EC2 sicurezza Amazon consente l'accesso da: :/0 alle porte di amministrazione del server remoto (porte 22 e 3389). Il controllo fallisce se il gruppo di sicurezza consente l'ingresso da: :/0 alla porta 22 o 3389.

Correzione

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Controlli Amazon DynamoDB

Controlli di Amazon EC2 Auto Scaling