Controlli Security Hub per Amazon EC2

Questi AWS Security Hub controlli valutano il servizio e le risorse Amazon Elastic Compute Cloud (Amazon EC2).

Questi controlli potrebbero non essere disponibili tutti Regioni AWS. Per ulteriori informazioni, consulta Disponibilità dei controlli per regione.

[EC2.1] Gli snapshot di Amazon EBS non devono essere ripristinabili pubblicamente

Requisiti correlati: PCI DSS versione 3.2.1/1.2.1, PCI DSS versione 3.2.1/1.3.1, PCI DSS versione 3.2.1/1.3.4, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7), (21), NIST.800-53.r5 AC-3, (11), (16) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (20) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

Categoria: Protezione > Configurazione di rete protetta

Severità: critica

Tipo di risorsa: AWS::::Account

Regola AWS Config : ebs-snapshot-public-restorable-check

Tipo di pianificazione: periodica

Parametri: nessuno

Questo controllo verifica se gli snapshot di Amazon Elastic Block Store non sono pubblici. Il controllo fallisce se gli snapshot di Amazon EBS sono ripristinabili da chiunque.

Gli snapshot EBS vengono utilizzati per eseguire il backup dei dati sui volumi EBS su Amazon S3 in un momento specifico. Puoi utilizzare gli snapshot per ripristinare gli stati precedenti dei volumi EBS. Raramente è accettabile condividere uno snapshot con il pubblico. In genere la decisione di condividere pubblicamente uno snapshot viene presa per errore o senza una completa comprensione delle implicazioni. Questo controllo consente di garantire che tale condivisione sia stata completamente pianificata ed è intenzionale.

Correzione

Per rendere privata una snapshot EBS pubblica, consulta Share a snapshot nella Amazon EC2 User Guide. Per Azioni, Modifica le autorizzazioni, scegli Privato.

[EC2.2] I gruppi di sicurezza VPC predefiniti non dovrebbero consentire il traffico in entrata o in uscita

Requisiti correlati: PCI DSS versione 3.2.1/1.2.1, PCI DSS v3.2.1/1.3.4, PCI DSS versione 3.2.1/2.1, benchmark CIS Foundations v1.2.0/4.3, benchmark CIS AWS Foundations v1.4.0/5.3, benchmark CIS AWS Foundations v3.0.0/5.4,, (21), (11), (16), (21), (4), (5)) AWS NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-4 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

Categoria: Protezione > Configurazione di rete protetta

Gravità: alta

Tipo di risorsa: AWS::EC2::SecurityGroup

Regola AWS Config : vpc-default-security-group-closed

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se il gruppo di sicurezza predefinito di un VPC consente il traffico in entrata o in uscita. Il controllo fallisce se il gruppo di sicurezza consente il traffico in entrata o in uscita.

Le regole per il gruppo di sicurezza predefinito consentono tutto il traffico in uscita e in ingresso dalle interfacce di rete (e le istanze associate) assegnate allo stesso gruppo di sicurezza. Ti consigliamo di non utilizzare il gruppo di sicurezza predefinito. Poiché il gruppo di sicurezza predefinito non può essere eliminato, è necessario modificare l'impostazione delle regole di gruppo di sicurezza predefinito per limitare il traffico in ingresso e in uscita. Ciò impedisce il traffico involontario se il gruppo di sicurezza predefinito viene configurato accidentalmente per risorse come EC2 le istanze.

Correzione

Per risolvere questo problema, inizia creando nuovi gruppi di sicurezza con privilegi minimi. Per istruzioni, consulta Creare un gruppo di sicurezza nella Amazon VPC User Guide. Quindi, assegna i nuovi gruppi di sicurezza alle tue EC2 istanze. Per istruzioni, consulta Modificare il gruppo di sicurezza di un'istanza nella Amazon EC2 User Guide.

Dopo aver assegnato i nuovi gruppi di sicurezza alle tue risorse, rimuovi tutte le regole in entrata e in uscita dai gruppi di sicurezza predefiniti. Per istruzioni, consulta Configurare le regole dei gruppi di sicurezza nella Amazon VPC User Guide.

[EC2.3] I volumi Amazon EBS collegati devono essere crittografati a riposo

Requisiti correlati: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-7 (6)

Categoria: Protezione > Protezione dei dati > Crittografia di data-at-rest

Gravità: media

Tipo di risorsa: AWS::EC2::Volume

Regola AWS Config : encrypted-volumes

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se i volumi EBS che si trovano in uno stato collegato sono crittografati. Per superare questo controllo, i volumi EBS devono essere in uso e crittografati. Se il volume EBS non è collegato, non è destinato a questo controllo.

Per un ulteriore livello di sicurezza dei dati sensibili nei volumi EBS, è necessario abilitare la crittografia EBS dei dati inattivi. La crittografica Amazon EBS offre una soluzione di crittografia semplice per le risorse EBS che non richiede di creare, mantenere e proteggere la propria infrastruttura di gestione delle chiavi. Utilizza le chiavi KMS per la creazione di volumi e istantanee crittografati.

Per ulteriori informazioni sulla crittografia Amazon EBS, consulta Amazon EBS encryption nella Amazon EC2 User Guide.

Correzione

Non esiste un modo diretto per crittografare un volume o uno snapshot non crittografato esistente. È possibile crittografare un nuovo volume o snapshot solo quando viene creato.

Se hai abilitato la crittografia per impostazione predefinita, Amazon EBS crittografa il nuovo volume o snapshot risultante utilizzando la tua chiave predefinita per la crittografia Amazon EBS. Anche se non la crittografia non è abilitata per impostazione predefinita, è possibile abilitare la crittografia al momento della creazione di uno specifico volume o snapshot. In entrambi i casi, puoi sostituire la chiave predefinita per la crittografia Amazon EBS e scegliere una chiave simmetrica gestita dal cliente.

Per ulteriori informazioni, consulta Creare un volume Amazon EBS e Copiare uno snapshot Amazon EBS nella Amazon User Guide. EC2

[EC2.4] Le EC2 istanze interrotte devono essere rimosse dopo un periodo di tempo specificato

Requisiti correlati: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2 (2)

Categoria: Identificazione > Inventario

Gravità: media

Tipo di risorsa: AWS::EC2::Instance

Regola AWS Config : ec2-stopped-instance

Tipo di pianificazione: periodica

Parametri:

Parametro	Descrizione	Tipo	Valori personalizzati consentiti	Valore predefinito di Security Hub
`AllowedDays`	Numero di giorni in cui l' EC2 istanza può rimanere in uno stato di arresto prima della generazione di un risultato non riuscito.	Numero intero	`1` Da a `365`	`30`

Questo controllo verifica se un' EC2 istanza Amazon è stata interrotta per un periodo superiore al numero di giorni consentito. Il controllo fallisce se un' EC2 istanza viene interrotta per un periodo di tempo superiore al periodo di tempo massimo consentito. A meno che non si fornisca un valore di parametro personalizzato per il periodo di tempo massimo consentito, Security Hub utilizza un valore predefinito di 30 giorni.

Quando un' EC2 istanza non viene eseguita per un periodo di tempo significativo, crea un rischio per la sicurezza perché l'istanza non viene gestita attivamente (analizzata, corretta, aggiornata). Se viene avviata in un secondo momento, la mancanza di una manutenzione adeguata potrebbe causare problemi imprevisti nell' AWS ambiente. Per mantenere un' EC2 istanza inattiva in modo sicuro nel tempo, avviala periodicamente per la manutenzione e poi interrompila dopo la manutenzione. Idealmente, questo dovrebbe essere un processo automatizzato.

Correzione

Per terminare un' EC2 istanza inattiva, consulta Terminare un'istanza nella Amazon EC2 User Guide.

[EC2.6] La registrazione del flusso VPC deve essere abilitata in tutti i casi VPCs

Requisiti correlati: benchmark CIS AWS Foundations v1.2.0/2.9, benchmark CIS Foundations v1.4.0/3.9, benchmark CIS AWS Foundations v3.0.0/3.7, PCI DSS v3.2.1/10.3.3, PCI DSS v3.2.1/10.3.4, PCI DSS v3.2.1/10.3.5, PCI DSS v3.2.1/10.3.6, (26), NIST.800-53.5 SI-7 (8) AWS NIST.800-53.r5 AC-4 NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7

Categoria: Identificazione > Registrazione

Gravità: media

Tipo di risorsa: AWS::EC2::VPC

Regola AWS Config : vpc-flow-logs-enabled

Tipo di pianificazione: periodica

Parametri:

trafficType: REJECT (non personalizzabile)

Questo controllo verifica se i log di flusso di Amazon VPC sono stati trovati e abilitati. VPCs Il tipo di traffico è impostato su. Reject Il controllo fallisce se i log di flusso VPC non sono abilitati VPCs nel tuo account.

Nota

Questo controllo non verifica se i log di flusso di Amazon VPC sono abilitati tramite Amazon Security Lake per. Account AWS

Con la funzione VPC Flow Logs, puoi acquisire informazioni sul traffico di indirizzi IP che va e viene dalle interfacce di rete nel tuo VPC. Dopo aver creato un log di flusso, puoi visualizzarne e recuperarne i dati in Logs. CloudWatch Per ridurre i costi, puoi anche inviare i log di flusso ad Amazon S3.

Security Hub consiglia di abilitare la registrazione del flusso per i pacchetti rifiutati per. VPCs I log di flusso forniscono visibilità sul traffico di rete che attraversa il VPC e possono rilevare traffico anomalo o fornire informazioni durante i flussi di lavoro di sicurezza.

Per impostazione predefinita, il record include i valori per i diversi componenti del flusso di indirizzi IP, tra cui origine, destinazione e protocollo. Per ulteriori informazioni e descrizioni dei campi di log, consulta VPC Flow Logs nella Amazon VPC User Guide.

Correzione

Per creare un log di flusso VPC, consulta Create a Flow Log nella Amazon VPC User Guide. Dopo aver aperto la console Amazon VPC, scegli Your. VPCs Per Filtro, scegli Rifiuta o Tutto.

[EC2.7] La crittografia predefinita di EBS deve essere abilitata

Requisiti correlati: CIS AWS Foundations Benchmark v1.4.0/2.2.1, CIS AWS Foundations Benchmark v3.0.0/2.2.1, (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, 8 NIST.800-53.r5 CA-9 (1), (10), NIST.800-53.r5 SI-7 (6) NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-7

Categoria: Protezione > Protezione dei dati > Crittografia di data-at-rest

Gravità: media

Tipo di risorsa: AWS::::Account

Regola AWS Config : ec2-ebs-encryption-by-default

Tipo di pianificazione: periodica

Parametri: nessuno

Questo controllo verifica se la crittografia a livello di account è abilitata per impostazione predefinita per i volumi Amazon Elastic Block Store (Amazon EBS). Il controllo fallisce se la crittografia a livello di account non è abilitata per i volumi EBS.

Quando la crittografia è abilitata per il tuo account, i volumi Amazon EBS e le copie degli snapshot vengono crittografati quando sono inattivi. Ciò aggiunge un ulteriore livello di protezione per i tuoi dati. Per ulteriori informazioni, consulta Encryption by default nella Amazon EC2 User Guide.

Correzione

Per configurare la crittografia predefinita per i volumi Amazon EBS, consulta Encryption by default nella Amazon EC2 User Guide.

[EC2.8] EC2 le istanze devono utilizzare Instance Metadata Service versione 2 () IMDSv2

Requisiti correlati: CIS AWS Foundations Benchmark v3.0.0/5.6, NIST.800-53.r5 AC-3 (15), (7) NIST.800-53.r5 AC-3, PCI DSS v4.0.1/2.2.6 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6

Categoria: Proteggi > Sicurezza di rete

Gravità: alta

Tipo di risorsa: AWS::EC2::Instance

Regola AWS Config : ec2-imdsv2-check

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se la versione dei metadati dell' EC2 istanza è configurata con Instance Metadata Service versione 2 (). IMDSv2 Il controllo passa se HttpTokens è impostato su obbligatorio per. IMDSv2 Il controllo ha esito negativo se HttpTokens è impostato suoptional.

I metadati dell'istanza vengono utilizzati per configurare o gestire l'istanza in esecuzione. L'IMDS fornisce l'accesso a credenziali temporanee, che vengono ruotate frequentemente. Queste credenziali eliminano la necessità di codificare o distribuire credenziali riservate alle istanze manualmente o programmaticamente. L'IMDS è collegato localmente a ogni istanza. EC2 Funziona su uno speciale indirizzo IP «link local» 169.254.169.254. Questo indirizzo IP è accessibile solo dal software in esecuzione sull'istanza.

La versione 2 dell'IMDS aggiunge nuove protezioni per i seguenti tipi di vulnerabilità. Queste vulnerabilità potrebbero essere utilizzate per tentare di accedere all'IMDS.

Apri i firewall delle applicazioni del sito Web
Apri proxy inversi
Vulnerabilità SSRF (Server-side Request Forgery)
Firewall Open Layer 3 e NAT (Network Address Translation)

Security Hub consiglia di configurare le EC2 istanze con IMDSv2.

Correzione

Per configurare EC2 le istanze con IMDSv2, consulta il percorso consigliato per la richiesta IMDSv2 nella Amazon EC2 User Guide.

[EC2.9] EC2 Le istanze Amazon non devono avere un indirizzo pubblico IPv4

Requisiti correlati: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)

Categoria: Protezione > Configurazione di rete sicura > Risorse non accessibili al pubblico

Gravità: alta

Tipo di risorsa: AWS::EC2::Instance

Regola AWS Config : ec2-instance-no-public-ip

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se EC2 le istanze hanno un indirizzo IP pubblico. Il controllo ha esito negativo se il publicIp campo è presente nell'elemento di configurazione dell' EC2 istanza. Questo controllo si applica solo agli IPv4 indirizzi.

Un IPv4 indirizzo pubblico è un indirizzo IP raggiungibile da Internet. Se avvii l'istanza con un indirizzo IP pubblico, l' EC2 istanza è raggiungibile da Internet. Un IPv4 indirizzo privato è un indirizzo IP che non è raggiungibile da Internet. Puoi utilizzare IPv4 indirizzi privati per la comunicazione tra EC2 istanze nello stesso VPC o nella tua rete privata connessa.

IPv6 gli indirizzi sono unici a livello globale e quindi sono raggiungibili da Internet. Tuttavia, per impostazione predefinita, tutte le sottoreti hanno l'attributo di IPv6 indirizzamento impostato su false. Per ulteriori informazioni IPv6, consulta la sezione Indirizzamento IP nel tuo VPC nella Amazon VPC User Guide.

Se hai un caso d'uso legittimo per gestire EC2 istanze con indirizzi IP pubblici, puoi eliminare i risultati di questo controllo. Per ulteriori informazioni sulle opzioni di architettura front-end, consulta l'Architecture Blog o la AWS serie di video della serie This Is My Architecture. AWS

Correzione

Utilizza un VPC non predefinito in modo che all'istanza non venga assegnato un indirizzo IP pubblico per impostazione predefinita.

Quando avvii un' EC2 istanza in un VPC predefinito, le viene assegnato un indirizzo IP pubblico. Quando si avvia un' EC2 istanza in un VPC non predefinito, la configurazione della sottorete determina se riceve un indirizzo IP pubblico. La sottorete dispone di un attributo per determinare se le nuove EC2 istanze nella sottorete ricevono un indirizzo IP pubblico dal pool di indirizzi pubblici. IPv4

È possibile dissociare un indirizzo IP pubblico assegnato automaticamente dalla propria istanza. EC2 Per ulteriori informazioni, IPv4 consulta Indirizzi pubblici e nomi host DNS esterni nella Amazon EC2 User Guide.

[EC2.10] Amazon EC2 deve essere configurato per utilizzare gli endpoint VPC creati per il servizio Amazon EC2

Requisiti correlati: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4) NIST.800-53.r5 SC-7

Categoria: Protezione > Configurazione di rete sicura > Accesso privato API

Gravità: media

Tipo di risorsa: AWS::EC2::VPC

Regola AWS Config : service-vpc-endpoint-enabled

Tipo di pianificazione: periodica

Parametri:

serviceName: ec2 (non personalizzabile)

Questo controllo verifica se EC2 viene creato un endpoint di servizio per Amazon per ogni VPC. Il controllo fallisce se un VPC non dispone di un endpoint VPC creato per il servizio Amazon. EC2

Questo controllo valuta le risorse in un unico account. Non può descrivere risorse esterne all'account. Poiché AWS Config Security Hub non effettua controlli su più account, ne vedrai FAILED i VPCs risultati condivisi tra gli account. Security Hub consiglia di eliminare questi FAILED risultati.

Per migliorare il livello di sicurezza del tuo VPC, puoi configurare EC2 Amazon per utilizzare un endpoint VPC di interfaccia. Gli endpoint di interfaccia sono basati su AWS PrivateLink una tecnologia che consente di accedere alle operazioni delle EC2 API di Amazon in modo privato. Limita tutto il traffico di rete tra il tuo VPC e Amazon EC2 alla rete Amazon. Poiché gli endpoint sono supportati solo all'interno della stessa regione, non è possibile creare un endpoint tra un VPC e un servizio in una regione diversa. In questo modo si evitano chiamate EC2 involontarie delle API Amazon verso altre regioni.

Per ulteriori informazioni sulla creazione di endpoint VPC per Amazon, EC2 consulta Amazon e EC2 interfaccia gli endpoint VPC nella Amazon User Guide. EC2

Correzione

Per creare un endpoint di interfaccia per Amazon EC2 dalla console Amazon VPC, consulta Creare un endpoint VPC nella Guida.AWS PrivateLink Per il nome del servizio, scegli com.amazonaws. region.ec2.

Puoi anche creare e allegare una policy per gli endpoint al tuo endpoint VPC per controllare l'accesso all'API Amazon. EC2 Per istruzioni sulla creazione di una policy per gli endpoint VPC, consulta la sezione Create an endpoint policy nella Amazon User Guide. EC2

[EC2.12] Amazon non utilizzato EC2 EIPs deve essere rimosso

Requisiti correlati: PCI DSS v3.2.1/2.4, NIST.800-53.r5 CM-8 (1)

Categoria: Protezione > Configurazione di rete protetta

Gravità: bassa

Tipo di risorsa: AWS::EC2::EIP

Regola AWS Config : eip-attached

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se gli indirizzi IP elastici (EIP) allocati a un VPC sono collegati a EC2 istanze o interfacce di rete elastiche in uso (). ENIs

Un risultato non riuscito indica che potresti averne uno inutilizzato. EC2 EIPs

Questo vi aiuterà a mantenere un inventario accurato degli asset EIPs presenti nel vostro ambiente di dati dei titolari di carta (CDE).

Correzione

Per rilasciare un EIP inutilizzato, consulta Rilascio di un indirizzo IP elastico nella Amazon EC2 User Guide.

[EC2.13] I gruppi di sicurezza non devono consentire l'accesso da 0.0.0.0/0 o: :/0 alla porta 22

Requisiti correlati: CIS AWS Foundations Benchmark versione 1.2.0/4.1, PCI DSS versione 3.2.1/1.2.1, PCI DSS versione 3.2.1/1.3.1, PCI DSS versione 3.2.1/2.2.2, (21), (11) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (16), (21) NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5), NIST.800-53.r5 SC-7 PCI DSS versione NIST.800-53.r5 SC-7 4.0.1/1.3.1 NIST.800-53.r5 SC-7

Categoria: Protezione > Configurazione di rete protetta

Gravità: alta

Tipo di risorsa: AWS::EC2::SecurityGroup

Regola AWS Config : restricted-ssh

Tipo di pianificazione: modifica attivata e periodica

Parametri: nessuno

Questo controllo verifica se un gruppo di EC2 sicurezza Amazon consente l'ingresso da 0.0.0.0/0 o: :/0 alla porta 22. Il controllo fallisce se il gruppo di sicurezza consente l'ingresso da 0.0.0.0/0 o: :/0 alla porta 22.

I gruppi di sicurezza forniscono filtraggio stateful del traffico di rete in entrata e in uscita a risorse AWS . È opportuno che nessun gruppo di sicurezza consenta accesso di entratata illimitato alla porta 22. La rimozione di connettività senza alcuna restrizione a servizi della console remota, ad esempio SSH, riduce l'esposizione di un server ai rischi.

Correzione

Per vietare l'accesso alla porta 22, rimuovi la regola che consente tale accesso per ogni gruppo di sicurezza associato a un VPC. Per istruzioni, consulta Aggiornare le regole dei gruppi di sicurezza nella Amazon EC2 User Guide. Dopo aver selezionato un gruppo di sicurezza nella EC2 console Amazon, scegli Azioni, Modifica regole in entrata. Rimuovi la regola che consente l'accesso alla porta 22.

[EC2.14] I gruppi di sicurezza non devono consentire l'accesso da 0.0.0.0/0 o: :/0 alla porta 3389

Requisiti correlati: CIS Foundations Benchmark v1.2.0/4.2, PCI DSS v4.0.1/1.3.1 AWS

Categoria: Protezione > Configurazione di rete protetta

Gravità: alta

Tipo di risorsa: AWS::EC2::SecurityGroup

AWS Config regola: restricted-common-ports(la regola creata èrestricted-rdp)

Tipo di pianificazione: modifica attivata e periodica

Parametri: nessuno

Questo controllo verifica se un gruppo di EC2 sicurezza Amazon consente l'ingresso da 0.0.0.0/0 o: :/0 alla porta 3389. Il controllo fallisce se il gruppo di sicurezza consente l'ingresso da 0.0.0.0/0 o: :/0 alla porta 3389.

I gruppi di sicurezza forniscono filtraggio stateful del traffico di rete in entrata e in uscita a risorse AWS . È opportuno che nessun gruppo di sicurezza consenta accesso di entrata illimitato alla porta 3389. La rimozione di connettività senza alcuna restrizione a servizi della console remota, ad esempio RDP, riduce l'esposizione di un server ai rischi.

Correzione

Per vietare l'accesso alla porta 3389, rimuovi la regola che consente tale accesso per ogni gruppo di sicurezza associato a un VPC. Per istruzioni, consulta Aggiornare le regole dei gruppi di sicurezza nella Amazon VPC User Guide. Dopo aver selezionato un gruppo di sicurezza nella console Amazon VPC, scegli Azioni, Modifica regole in entrata. Rimuovi la regola che consente l'accesso alla porta 3389.

[EC2.15] Le EC2 sottoreti Amazon non devono assegnare automaticamente indirizzi IP pubblici

Requisiti correlati: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4,, (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v4.0.1/1.4.4

Categoria: Proteggi > Sicurezza di rete

Gravità: media

Tipo di risorsa: AWS::EC2::Subnet

Regola AWS Config : subnet-auto-assign-public-ip-disabled

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se l'assegnazione delle MapPublicIpOnLaunch sottoreti pubbliche IPs in Amazon Virtual Private Cloud (Amazon VPC) è impostata su. FALSE Il controllo passa se il flag è impostato su. FALSE

Tutte le sottoreti hanno un attributo che determina se un'interfaccia di rete creata nella sottorete riceve automaticamente un indirizzo pubblico. IPv4 Le istanze avviate in sottoreti con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale.

Correzione

Per configurare una sottorete in modo che non assegni indirizzi IP pubblici, consulta Modificare l'attributo di IPv4 indirizzamento pubblico per la sottorete nella Amazon VPC User Guide. Deseleziona la casella di controllo Abilita l'assegnazione automatica dell'indirizzo pubblico IPv4 .

[EC2.16] Gli elenchi di controllo degli accessi alla rete non utilizzati devono essere rimossi

Requisiti correlati: NIST.800-53.r5 CM-8 (1), PCI DSS v4.0.1/1.2.7

Categoria: Protezione > Sicurezza di rete

Gravità: bassa

Tipo di risorsa: AWS::EC2::NetworkAcl

Regola AWS Config : vpc-network-acl-unused-check

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se ci sono liste di controllo degli accessi alla rete (rete ACLs) non utilizzate nel tuo cloud privato virtuale (VPC). Il controllo fallisce se l'ACL di rete non è associato a una sottorete. Il controllo non genera risultati per un ACL di rete predefinito non utilizzato.

Il controllo verifica la configurazione degli elementi della risorsa AWS::EC2::NetworkAcl e determina le relazioni dell'ACL di rete.

Se l'unica relazione è il VPC dell'ACL di rete, il controllo fallisce.

Se sono elencate altre relazioni, il controllo passa.

Correzione

Per istruzioni sull'eliminazione di un ACL di rete non utilizzato, consulta Eliminazione di un ACL di rete nella Amazon VPC User Guide. Non puoi eliminare l'ACL di rete predefinito o un ACL associato alle sottoreti.

[EC2.17] EC2 Le istanze Amazon non devono utilizzare più istanze ENIs

Requisiti correlati: NIST.800-53.r5 AC-4 (21)

Categoria: Proteggi > Sicurezza di rete

Gravità: bassa

Tipo di risorsa: AWS::EC2::Instance

Regola AWS Config : ec2-instance-multiple-eni-check

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se un' EC2 istanza utilizza più Elastic Network Interfaces (ENIs) o Elastic Fabric Adapters (). EFAs Questo controllo passa se viene utilizzata una singola scheda di rete. Il controllo include un elenco di parametri opzionale per identificare i parametri consentiti ENIs. Questo controllo fallisce anche se un' EC2 istanza appartenente a un cluster Amazon EKS utilizza più di un ENI. Se le tue EC2 istanze devono avere più istanze ENIs come parte di un cluster Amazon EKS, puoi eliminare tali risultati di controllo.

Più istanze ENIs possono causare istanze dual-homed, ossia istanze con più sottoreti. Ciò può aumentare la complessità della sicurezza della rete e introdurre percorsi e accessi di rete indesiderati.

Correzione

Per scollegare un'interfaccia di rete da un' EC2 istanza, consulta Scollegare un'interfaccia di rete da un'istanza nella Amazon EC2 User Guide.

[EC2.18] I gruppi di sicurezza devono consentire il traffico in entrata senza restrizioni solo per le porte autorizzate

Requisiti correlati: NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21), (4), NIST.800-53.r5 SC-7 (5) NIST.800-53.r5 SC-7

Categoria: Protezione > Configurazione di rete sicura > Configurazione del gruppo di sicurezza

Gravità: alta

Tipo di risorsa: AWS::EC2::SecurityGroup

Regola AWS Config : vpc-sg-open-only-to-authorized-ports

Tipo di pianificazione: modifica attivata

Parametri:

Parametro	Descrizione	Tipo	Valori personalizzati consentiti	Valore predefinito di Security Hub
`authorizedTcpPorts`	Elenco delle porte TCP autorizzate	IntegerList (minimo 1 elemento e massimo 32 elementi)	`1` Da a `65535`	`[80,443]`
`authorizedUdpPorts`	Elenco delle porte UDP autorizzate	IntegerList (minimo 1 articolo e massimo 32 articoli)	`1` Da a `65535`	Nessun valore predefinito

Questo controllo verifica se un gruppo di EC2 sicurezza Amazon consente il traffico in entrata senza restrizioni da porte non autorizzate. Lo stato del controllo è determinato come segue:

Se si utilizza il valore predefinito perauthorizedTcpPorts, il controllo ha esito negativo se il gruppo di sicurezza consente il traffico in entrata senza restrizioni da qualsiasi porta diversa dalle porte 80 e 443.
Se fornisci valori personalizzati per authorizedTcpPorts oauthorizedUdpPorts, il controllo ha esito negativo se il gruppo di sicurezza consente il traffico in entrata senza restrizioni da qualsiasi porta non elencata.
Se non viene utilizzato alcun parametro, il controllo ha esito negativo per qualsiasi gruppo di sicurezza con una regola del traffico in entrata senza restrizioni.

I gruppi di sicurezza forniscono un filtraggio statico del traffico di rete in ingresso e in uscita verso. AWS Le regole dei gruppi di sicurezza devono seguire il principio dell'accesso con privilegi minimi. L'accesso illimitato (indirizzo IP con suffisso /0) aumenta la possibilità di attività dannose come pirateria informatica, denial-of-service attacchi e perdita di dati. A meno che una porta non sia espressamente consentita, la porta dovrebbe negare l'accesso illimitato.

Correzione

Per modificare un gruppo di sicurezza, consulta Work with security groups nella Amazon VPC User Guide.

[EC2.19] I gruppi di sicurezza non devono consentire l'accesso illimitato alle porte ad alto rischio

Requisiti correlati: NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 CA-9 (1) NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5)

Categoria: Protezione > Accesso limitato alla rete

Severità: critica

Tipo di risorsa: AWS::EC2::SecurityGroup

AWS Config regola: restricted-common-ports(la regola creata èvpc-sg-restricted-common-ports)

Tipo di pianificazione: modifica attivata e periodica

Parametri: "blockedPorts": "20,21,22,23,25,110,135,143,445,1433,1434,3000,3306,3389,4333,5000,5432,5500,5601,8080,8088,8888,9200,9300" (non personalizzabile)

Questo controllo verifica se il traffico in entrata senza restrizioni per un gruppo EC2 di sicurezza Amazon è accessibile alle porte specificate che sono considerate ad alto rischio. Questo controllo ha esito negativo se una delle regole di un gruppo di sicurezza consente il traffico in ingresso da '0.0.0.0/0' o ': :/0' verso quelle porte.

I gruppi di sicurezza forniscono filtraggio stateful del traffico di rete in entrata e in uscita a risorse AWS . L'accesso senza restrizioni (0.0.0.0/0) aumenta le opportunità di attività dannose, come pirateria informatica, attacchi e perdita di dati. denial-of-service Nessun gruppo di sicurezza dovrebbe consentire l'accesso illimitato in ingresso alle seguenti porte:

20, 21 (FTP)
22 (SSH)
23 (Telnet)
25 (SMTP)
10 () POP3
135 (RPC)
143 (IMAP)
445 (CIF)
1433, 1434 (SQL)
3000 (framework di sviluppo web Go, Node.js e Ruby)
3306 (MySQL)
3389 (RDP)
4333 (ahsp)
5000 (framework di sviluppo web in Python)
5432 (postgresql)
5500 (1) fcp-addr-srvr
5601 (Cruscotti) OpenSearch
8080 (proxy)
8088 (porta HTTP precedente)
8888 (porta HTTP alternativa)
9200 o 9300 () OpenSearch

Correzione

Per eliminare le regole da un gruppo di sicurezza, consulta Eliminare le regole da un gruppo di sicurezza nella Amazon EC2 User Guide.

[EC2.20] Entrambi i tunnel VPN per una connessione AWS Site-to-Site VPN dovrebbero essere attivi

Requisiti correlati: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

Categoria: Recupero > Resilienza > Alta disponibilità

Gravità: media

Tipo di risorsa: AWS::EC2::VPNConnection

Regola AWS Config : vpc-vpn-2-tunnels-up

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Un tunnel VPN è un collegamento crittografato in cui i dati possono passare dalla rete del cliente a o dall' AWS interno di una connessione AWS Site-to-Site VPN. Ogni connessione VPN include due tunnel VPN che è possibile utilizzare contemporaneamente per una disponibilità elevata. Garantire che entrambi i tunnel VPN siano attivi per una connessione VPN è importante per confermare una connessione sicura e ad alta disponibilità tra un AWS VPC e la rete remota.

Questo controllo verifica che entrambi i tunnel VPN forniti dalla AWS Site-to-Site VPN abbiano lo stato UP. Il controllo fallisce se uno o entrambi i tunnel sono in stato INATTIVO.

Correzione

Per modificare le opzioni del tunnel VPN, consulta Modificare le opzioni del tunnel Site-to-Site VPN nella Guida per l'utente AWS Site-to-Site VPN.

[EC2.21] La rete non ACLs dovrebbe consentire l'ingresso dalla porta 0.0.0.0/0 alla porta 22 o alla porta 3389

Requisiti correlati: CIS AWS Foundations Benchmark v1.4.0/5.1, CIS Foundations Benchmark v3.0.0/5.1, (21), (1), (21), (21), (5), NIST.800-53.r5 AC-4 PCI DSS v4.0.1/1.3.1 AWS NIST.800-53.r5 CA-9 NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

Categoria: Protezione > Configurazione di rete sicura

Gravità: media

Tipo di risorsa: AWS::EC2::NetworkAcl

Regola AWS Config : nacl-no-unrestricted-ssh-rdp

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se una lista di controllo degli accessi alla rete (Network ACL) consente l'accesso illimitato alle porte TCP predefinite per il traffico in ingresso SSH/RDP. Il controllo ha esito negativo se la voce ACL di rete in ingresso consente un blocco CIDR di origine di '0.0.0.0/0' o ': :/0' per le porte TCP 22 o 3389. Il controllo non genera risultati per un ACL di rete predefinito.

L'accesso alle porte di amministrazione del server remoto, come la porta 22 (SSH) e la porta 3389 (RDP), non dovrebbe essere accessibile al pubblico, in quanto ciò potrebbe consentire l'accesso non intenzionale alle risorse all'interno del tuo VPC.

Correzione

Per modificare le regole del traffico ACL di rete, consulta Work with network ACLs nella Amazon VPC User Guide.

[EC2.22] I gruppi di EC2 sicurezza Amazon non utilizzati devono essere rimossi

Importante

RITIRATO DA STANDARD SPECIFICI — Security Hub ha rimosso questo controllo il 20 settembre 2023 dallo standard AWS Foundational Security Best Practices e dal NIST SP 800-53 Rev. 5. Questo controllo fa ancora parte di Service-Managed Standard:. AWS Control Tower Questo controllo restituisce un risultato positivo se i gruppi di sicurezza sono collegati a EC2 istanze o a un'interfaccia di rete elastica. Tuttavia, in alcuni casi d'uso, i gruppi di sicurezza non collegati non rappresentano un rischio per la sicurezza. Puoi utilizzare altri EC2 controlli, ad esempio EC2 .2, EC2 .13, EC2 .14, EC2 .18 e.19, per monitorare i tuoi gruppi di sicurezza. EC2

Categoria: Identificazione > Inventario

Gravità: media

AWS::EC2::NetworkInterfaceTipo di risorsa:, AWS::EC2::SecurityGroup

Regola AWS Config : ec2-security-group-attached-to-eni-periodic

Tipo di pianificazione: periodica

Parametri: nessuno

Questo controllo verifica se i gruppi di sicurezza sono collegati a istanze Amazon Elastic Compute Cloud (Amazon EC2) o a un'interfaccia di rete elastica. Il controllo fallisce se il gruppo di sicurezza non è associato a un' EC2 istanza Amazon o a un'interfaccia di rete elastica.

Correzione

Per creare, assegnare ed eliminare gruppi di sicurezza, consulta la guida per EC2 l'utente dei gruppi di sicurezza di Amazon.

[EC2.23] Amazon EC2 Transit Gateways non dovrebbe accettare automaticamente le richieste di allegati VPC

Requisiti correlati: NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2

Categoria: Protezione > Configurazione di rete protetta

Gravità: alta

Tipo di risorsa: AWS::EC2::TransitGateway

Regola AWS Config : ec2-transit-gateway-auto-vpc-attach-disabled

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se i gateway di EC2 transito accettano automaticamente allegati VPC condivisi. Questo controllo non riesce per un gateway di transito che accetta automaticamente richieste di allegati VPC condivise.

L'attivazione AutoAcceptSharedAttachments configura un gateway di transito per accettare automaticamente qualsiasi richiesta di allegati VPC tra account senza verificare la richiesta o l'account da cui proviene l'allegato. Per seguire le migliori pratiche di autorizzazione e autenticazione, consigliamo di disattivare questa funzionalità per garantire che vengano accettate solo le richieste di allegati VPC autorizzate.

Correzione

Per modificare un gateway di transito, consulta Modificare un gateway di transito nella Amazon VPC Developer Guide.

[EC2.24] I tipi di istanze EC2 paravirtuali di Amazon non devono essere utilizzati

Requisiti correlati: NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2 (2)

Categoria: Identificazione > Gestione di vulnerabilità, patch e versioni

Gravità: media

Tipo di risorsa: AWS::EC2::Instance

Regola AWS Config : ec2-paravirtual-instance-check

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se il tipo di virtualizzazione di un' EC2 istanza è paravirtuale. Il controllo ha esito negativo se l'opzione virtualizationType dell' EC2 istanza è impostata su. paravirtual

Linux Amazon Machine Images (AMIs) utilizza uno dei due tipi di virtualizzazione: paravirtuale (PV) o macchina virtuale hardware (HVM). Le principali differenze tra PV e HVM AMIs sono il modo in cui si avviano e se possono sfruttare estensioni hardware speciali (CPU, rete e storage) per prestazioni migliori.

Storicamente, gli ospiti PV avevano prestazioni migliori rispetto agli ospiti HVM in molti casi, ma a causa dei miglioramenti apportati alla virtualizzazione HVM e alla disponibilità di driver FV per HVM, questo non è più vero. AMIs Per ulteriori informazioni, consulta i tipi di virtualizzazione delle AMI Linux nella Amazon EC2 User Guide.

Correzione

Per aggiornare un' EC2 istanza a un nuovo tipo di istanza, consulta Cambia il tipo di istanza nella Amazon EC2 User Guide.

[EC2.25] I modelli di EC2 lancio di Amazon non devono assegnare interfacce IPs di rete pubbliche

Requisiti correlati: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4,, (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v4.0.1/1.4.4

Categoria: Protezione > Configurazione di rete sicura > Risorse non accessibili al pubblico

Gravità: alta

Tipo di risorsa: AWS::EC2::LaunchTemplate

Regola AWS Config : ec2-launch-template-public-ip-disabled

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se i modelli di EC2 avvio di Amazon sono configurati per assegnare indirizzi IP pubblici alle interfacce di rete al momento dell'avvio. Il controllo fallisce se un modello di EC2 avvio è configurato per assegnare un indirizzo IP pubblico alle interfacce di rete o se esiste almeno un'interfaccia di rete con un indirizzo IP pubblico.

Un indirizzo IP pubblico è raggiungibile da Internet. Se configuri le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete potrebbero essere raggiungibili da Internet. EC2 le risorse non dovrebbero essere accessibili al pubblico perché ciò potrebbe consentire l'accesso involontario ai carichi di lavoro.

Correzione

Per aggiornare un modello di EC2 lancio, consulta Modifica delle impostazioni predefinite dell'interfaccia di rete nella Amazon EC2 Auto Scaling User Guide.

[EC2.28] I volumi EBS devono essere coperti da un piano di backup

Categoria: Recover > Resilience > Backup abilitati

Requisiti correlati: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-12, NIST.800-53.r5 SI-13 (5)

Gravità: bassa

Tipo di risorsa: AWS::EC2::Volume

AWS Config regola: ebs-resources-protected-by-backup-plan

Tipo di pianificazione: periodica

Parametri:

Parametro	Descrizione	Tipo	Valori personalizzati consentiti	Valore predefinito di Security Hub
`backupVaultLockCheck`	Il controllo restituisce un `PASSED` risultato se il parametro è impostato su `true` e la risorsa utilizza AWS Backup Vault Lock.	Booleano	`true` o `false`	Nessun valore predefinito

Questo controllo valuta se un volume Amazon EBS in in-use stato è coperto da un piano di backup. Il controllo fallisce se un volume EBS non è coperto da un piano di backup. Se si imposta il backupVaultLockCheck parametro uguale atrue, il controllo passa solo se viene eseguito il backup del volume EBS in un vault AWS Backup bloccato.

I backup consentono di ripristinare più rapidamente un incidente di sicurezza. Inoltre, rafforzano la resilienza dei sistemi. L'inclusione dei volumi Amazon EBS in un piano di backup aiuta a proteggere i dati da perdite o eliminazioni involontarie.

Correzione

Per aggiungere un volume Amazon EBS a un piano di AWS Backup backup, consulta Assegnazione di risorse a un piano di backup nella AWS Backup Developer Guide.

[EC2.33] Gli allegati di EC2 Transit Gateway devono essere etichettati

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::TransitGatewayAttachment

AWS Config regola: tagged-ec2-transitgatewayattachment (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro	Descrizione	Tipo	Valori personalizzati consentiti	Valore predefinito di Security Hub
`requiredTagKeys`	Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. Le chiavi dei tag prevedono una distinzione tra lettere maiuscole e minuscole.	StringList	Elenco di tag che soddisfano i requisiti AWS	Nessun valore predefinito

Questo controllo verifica se un allegato Amazon EC2 Transit Gateway ha tag con le chiavi specifiche definite nel parametrorequiredTagKeys. Il controllo fallisce se l'allegato Transit Gateway non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave tag e fallisce se l'allegato del gateway di transito non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa serve ABAC? AWS nella Guida per l'utente di IAM.

Nota

Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta Taggare le AWS risorse in. Riferimenti generali di AWS

Correzione

Per aggiungere tag a un allegato EC2 Transit Gateway, consulta Tagga le tue EC2 risorse Amazon nella Amazon EC2 User Guide.

[EC2.34] Le tabelle delle rotte dei gateway di EC2 transito devono essere etichettate

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::TransitGatewayRouteTable

AWS Config regola: tagged-ec2-transitgatewayroutetable (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro	Descrizione	Tipo	Valori personalizzati consentiti	Valore predefinito di Security Hub
`requiredTagKeys`	Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. Le chiavi dei tag prevedono una distinzione tra lettere maiuscole e minuscole.	StringList	Elenco di tag che soddisfano i requisiti AWS	Nessun valore predefinito

Questo controllo verifica se una tabella di routing di Amazon EC2 Transit Gateway contiene tag con le chiavi specifiche definite nel parametrorequiredTagKeys. Il controllo ha esito negativo se la tabella di routing del gateway di transito non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se la tabella di route del gateway di transito non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Nota

Correzione

Per aggiungere tag a una tabella di routing di un gateway di EC2 transito, consulta Tagga le tue EC2 risorse Amazon nella Amazon EC2 User Guide.

[EC2.35] le interfacce EC2 di rete devono essere etichettate

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::NetworkInterface

AWS Config regola: tagged-ec2-networkinterface (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro	Descrizione	Tipo	Valori personalizzati consentiti	Valore predefinito di Security Hub
`requiredTagKeys`	Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. Le chiavi dei tag prevedono una distinzione tra lettere maiuscole e minuscole.	StringList	Elenco di tag che soddisfano i requisiti AWS	Nessun valore predefinito

Questo controllo verifica se un'interfaccia EC2 di rete Amazon ha tag con le chiavi specifiche definite nel parametrorequiredTagKeys. Il controllo fallisce se l'interfaccia di rete non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'interfaccia di rete non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Nota

Correzione

Per aggiungere tag a un'interfaccia EC2 di rete, consulta Tagga le tue EC2 risorse Amazon nella Amazon EC2 User Guide.

[EC2.36] I gateway per i EC2 clienti devono essere etichettati

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::CustomerGateway

AWS Config regola: tagged-ec2-customergateway (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro	Descrizione	Tipo	Valori personalizzati consentiti	Valore predefinito di Security Hub
`requiredTagKeys`	Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. Le chiavi dei tag prevedono una distinzione tra lettere maiuscole e minuscole.	StringList	Elenco di tag che soddisfano i requisiti AWS	Nessun valore predefinito

Questo controllo verifica se un gateway per EC2 clienti Amazon dispone di tag con le chiavi specifiche definite nel parametrorequiredTagKeys. Il controllo fallisce se il gateway del cliente non dispone di chiavi di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il gateway del cliente non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Nota

Correzione

Per aggiungere tag a un EC2 customer gateway, consulta Tagga le tue EC2 risorse Amazon nella Amazon EC2 User Guide.

[EC2.37] Gli indirizzi IP EC2 elastici devono essere etichettati

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::EIP

AWS Config regola: tagged-ec2-eip (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro	Descrizione	Tipo	Valori personalizzati consentiti	Valore predefinito di Security Hub
`requiredTagKeys`	Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. Le chiavi dei tag prevedono una distinzione tra lettere maiuscole e minuscole.	StringList	Elenco di tag che soddisfano i requisiti AWS	Nessun valore predefinito

Questo controllo verifica se un indirizzo IP Amazon EC2 Elastic ha tag con le chiavi specifiche definite nel parametrorequiredTagKeys. Il controllo fallisce se l'indirizzo IP elastico non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'indirizzo IP elastico non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Nota

Correzione

Per aggiungere tag a un indirizzo IP EC2 elastico, consulta Tagga le tue EC2 risorse Amazon nella Amazon EC2 User Guide.

[EC2.38] EC2 le istanze devono essere etichettate

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::Instance

AWS Config regola: tagged-ec2-instance (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro	Descrizione	Tipo	Valori personalizzati consentiti	Valore predefinito di Security Hub
`requiredTagKeys`	Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. Le chiavi dei tag prevedono una distinzione tra lettere maiuscole e minuscole.	StringList	Elenco di tag che soddisfano i requisiti AWS	Nessun valore predefinito

Questo controllo verifica se un' EC2 istanza Amazon ha tag con le chiavi specifiche definite nel parametrorequiredTagKeys. Il controllo fallisce se l'istanza non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'istanza non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Nota

Correzione

Per aggiungere tag a un' EC2 istanza, consulta Tagga le tue EC2 risorse Amazon nella Amazon EC2 User Guide.

[EC2.39] i gateway EC2 Internet devono essere etichettati

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::InternetGateway

AWS Config regola: tagged-ec2-internetgateway (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro	Descrizione	Tipo	Valori personalizzati consentiti	Valore predefinito di Security Hub
`requiredTagKeys`	Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. Le chiavi dei tag prevedono una distinzione tra lettere maiuscole e minuscole.	StringList	Elenco di tag che soddisfano i requisiti AWS	Nessun valore predefinito

Questo controllo verifica se un gateway EC2 Internet Amazon dispone di tag con le chiavi specifiche definite nel parametrorequiredTagKeys. Il controllo fallisce se il gateway Internet non dispone di chiavi di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave tag e fallisce se il gateway Internet non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Nota

Correzione

Per aggiungere tag a un gateway EC2 Internet, consulta Tagga le tue EC2 risorse Amazon nella Amazon EC2 User Guide.

[EC2.40] I gateway EC2 NAT devono essere etichettati

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::NatGateway

AWS Config regola: tagged-ec2-natgateway (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro	Descrizione	Tipo	Valori personalizzati consentiti	Valore predefinito di Security Hub
`requiredTagKeys`	Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. Le chiavi dei tag prevedono una distinzione tra lettere maiuscole e minuscole.	StringList	Elenco di tag che soddisfano i requisiti AWS	Nessun valore predefinito

Questo controllo verifica se un gateway Amazon EC2 Network Address Translation (NAT) dispone di tag con le chiavi specifiche definite nel parametrorequiredTagKeys. Il controllo fallisce se il gateway NAT non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro. requiredTagKeys Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il gateway NAT non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Nota

Correzione

Per aggiungere tag a un gateway EC2 NAT, consulta Tagga le tue EC2 risorse Amazon nella Amazon EC2 User Guide.

[EC2.41] la EC2 rete ACLs deve essere etichettata

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::NetworkAcl

AWS Config regola: tagged-ec2-networkacl (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro	Descrizione	Tipo	Valori personalizzati consentiti	Valore predefinito di Security Hub
`requiredTagKeys`	Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. Le chiavi dei tag prevedono una distinzione tra lettere maiuscole e minuscole.	StringList	Elenco di tag che soddisfano i requisiti AWS	Nessun valore predefinito

Questo controllo verifica se una lista di controllo degli accessi alla EC2 rete Amazon (Network ACL) contiene tag con le chiavi specifiche definite nel parametrorequiredTagKeys. Il controllo fallisce se l'ACL di rete non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro. requiredTagKeys Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'ACL di rete non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Nota

Correzione

Per aggiungere tag a un ACL EC2 di rete, consulta Tagga le tue EC2 risorse Amazon nella Amazon EC2 User Guide.

[EC2.42] le tabelle delle EC2 rotte devono essere etichettate

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::RouteTable

AWS Config regola: tagged-ec2-routetable (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro	Descrizione	Tipo	Valori personalizzati consentiti	Valore predefinito di Security Hub
`requiredTagKeys`	Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. Le chiavi dei tag prevedono una distinzione tra lettere maiuscole e minuscole.	StringList	Elenco di tag che soddisfano i requisiti AWS	Nessun valore predefinito

Questo controllo verifica se una tabella di EC2 routing di Amazon contiene tag con le chiavi specifiche definite nel parametrorequiredTagKeys. Il controllo fallisce se la tabella di routing non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se la tabella delle rotte non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Nota

Correzione

Per aggiungere tag a una tabella di EC2 routing, consulta Tagga le tue EC2 risorse Amazon nella Amazon EC2 User Guide.

[EC2.43] i gruppi EC2 di sicurezza devono essere etichettati

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::SecurityGroup

AWS Config regola: tagged-ec2-securitygroup (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro	Descrizione	Tipo	Valori personalizzati consentiti	Valore predefinito di Security Hub
`requiredTagKeys`	Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. Le chiavi dei tag prevedono una distinzione tra lettere maiuscole e minuscole.	StringList	Elenco di tag che soddisfano i requisiti AWS	Nessun valore predefinito

Questo controllo verifica se un gruppo EC2 di sicurezza Amazon dispone di tag con le chiavi specifiche definite nel parametrorequiredTagKeys. Il controllo fallisce se il gruppo di sicurezza non dispone di chiavi di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il gruppo di sicurezza non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Nota

Correzione

Per aggiungere tag a un gruppo EC2 di sicurezza, consulta Tagga le tue EC2 risorse Amazon nella Amazon EC2 User Guide.

[EC24.4] le EC2 sottoreti devono essere etichettate

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::Subnet

AWS Config regola: tagged-ec2-subnet (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro	Descrizione	Tipo	Valori personalizzati consentiti	Valore predefinito di Security Hub
`requiredTagKeys`	Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. Le chiavi dei tag prevedono una distinzione tra lettere maiuscole e minuscole.	StringList	Elenco di tag che soddisfano i requisiti AWS	Nessun valore predefinito

Questo controllo verifica se una EC2 sottorete Amazon dispone di tag con le chiavi specifiche definite nel parametrorequiredTagKeys. Il controllo fallisce se la sottorete non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro. requiredTagKeys Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se la sottorete non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Nota

Correzione

Per aggiungere tag a una EC2 sottorete, consulta Tagga le tue EC2 risorse Amazon nella Amazon EC2 User Guide.

[EC2.45] i EC2 volumi devono essere etichettati

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::Volume

AWS Config regola: tagged-ec2-subnet (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro	Descrizione	Tipo	Valori personalizzati consentiti	Valore predefinito di Security Hub
`requiredTagKeys`	Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. Le chiavi dei tag prevedono una distinzione tra lettere maiuscole e minuscole.	StringList	Elenco di tag che soddisfano i requisiti AWS	Nessun valore predefinito

Questo controllo verifica se un EC2 volume Amazon ha tag con le chiavi specifiche definite nel parametrorequiredTagKeys. Il controllo fallisce se il volume non ha alcuna chiave tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il volume non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Nota

Correzione

Per aggiungere tag a un EC2 volume, consulta Tagga le tue EC2 risorse Amazon nella Amazon EC2 User Guide.

[EC2.46] Amazon VPCs dovrebbe essere taggato

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::VPC

AWS Config regola: tagged-ec2-vpc (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro	Descrizione	Tipo	Valori personalizzati consentiti	Valore predefinito di Security Hub
`requiredTagKeys`	Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. Le chiavi dei tag prevedono una distinzione tra lettere maiuscole e minuscole.	StringList	Elenco di tag che soddisfano i requisiti AWS	Nessun valore predefinito

Questo controllo verifica se un Amazon Virtual Private Cloud (Amazon VPC) ha tag con le chiavi specifiche definite nel parametro. requiredTagKeys Il controllo fallisce se Amazon VPC non dispone di chiavi di tag o se non dispone di tutte le chiavi specificate nel parametro. requiredTagKeys Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se Amazon VPC non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Nota

Correzione

Per aggiungere tag a un VPC, consulta Tagga le tue EC2 risorse Amazon nella Amazon EC2 User Guide.

[EC2.47] I servizi endpoint Amazon VPC devono essere etichettati

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::VPCEndpointService

AWS Config regola: tagged-ec2-vpcendpointservice (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro	Descrizione	Tipo	Valori personalizzati consentiti	Valore predefinito di Security Hub
`requiredTagKeys`	Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. Le chiavi dei tag prevedono una distinzione tra lettere maiuscole e minuscole.	StringList	Elenco di tag che soddisfano i requisiti AWS	Nessun valore predefinito

Questo controllo verifica se un servizio endpoint Amazon VPC dispone di tag con le chiavi specifiche definite nel parametro. requiredTagKeys Il controllo fallisce se il servizio endpoint non dispone di chiavi di tag o se non ha tutte le chiavi specificate nel parametro. requiredTagKeys Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il servizio endpoint non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Nota

Correzione

Per aggiungere tag a un servizio endpoint Amazon VPC, consulta Manage Tags nella sezione Configura un servizio endpoint della Guida.AWS PrivateLink

[EC2.48] I log di flusso di Amazon VPC devono essere etichettati

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::FlowLog

AWS Config regola: tagged-ec2-flowlog (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro	Descrizione	Tipo	Valori personalizzati consentiti	Valore predefinito di Security Hub
`requiredTagKeys`	Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. Le chiavi dei tag prevedono una distinzione tra lettere maiuscole e minuscole.	StringList	Elenco di tag che soddisfano i requisiti AWS	Nessun valore predefinito

Questo controllo verifica se un log di flusso Amazon VPC contiene tag con le chiavi specifiche definite nel parametro. requiredTagKeys Il controllo fallisce se il log di flusso non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il log di flusso non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Nota

Correzione

Per aggiungere tag a un log di flusso di Amazon VPC, consulta Etichettare un log di flusso nella Amazon VPC User Guide.

[EC2.49] Le connessioni peering Amazon VPC devono essere etichettate

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::VPCPeeringConnection

AWS Config regola: tagged-ec2-vpcpeeringconnection (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro	Descrizione	Tipo	Valori personalizzati consentiti	Valore predefinito di Security Hub
`requiredTagKeys`	Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. Le chiavi dei tag prevedono una distinzione tra lettere maiuscole e minuscole.	StringList	Elenco di tag che soddisfano i requisiti AWS	Nessun valore predefinito

Questo controllo verifica se una connessione peering Amazon VPC ha tag con le chiavi specifiche definite nel parametro. requiredTagKeys Il controllo fallisce se la connessione peering non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro. requiredTagKeys Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se la connessione peering non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Nota

Correzione

Per aggiungere tag a una connessione peering Amazon VPC, consulta Tagga le tue EC2 risorse Amazon nella Amazon EC2 User Guide.

[EC2.50] I gateway EC2 VPN devono essere etichettati

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::VPNGateway

AWS Config regola: tagged-ec2-vpngateway (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro	Descrizione	Tipo	Valori personalizzati consentiti	Valore predefinito di Security Hub
`requiredTagKeys`	Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. Le chiavi dei tag prevedono una distinzione tra lettere maiuscole e minuscole.	StringList	Elenco di tag che soddisfano i requisiti AWS	Nessun valore predefinito

Questo controllo verifica se un gateway Amazon EC2 VPN dispone di tag con le chiavi specifiche definite nel parametrorequiredTagKeys. Il controllo fallisce se il gateway VPN non dispone di chiavi di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave tag e fallisce se il gateway VPN non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Nota

Correzione

Per aggiungere tag a un gateway EC2 VPN, consulta Tagga le tue EC2 risorse Amazon nella Amazon EC2 User Guide.

[EC2.51] Gli endpoint EC2 Client VPN devono avere la registrazione delle connessioni client abilitata

Requisiti correlati: NIST.800-53.r5 AC-2 (12), NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.r5 SI-4, NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.2.1

Categoria: Identificazione > Registrazione

Gravità: bassa

Tipo di risorsa: AWS::EC2::ClientVpnEndpoint

AWS Config regola: ec2-client-vpn-connection-log-enabled

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se un AWS Client VPN endpoint ha abilitato la registrazione delle connessioni client. Il controllo fallisce se sull'endpoint non è abilitata la registrazione delle connessioni client.

Gli endpoint Client VPN consentono ai client remoti di connettersi in modo sicuro alle risorse in un Virtual Private Cloud (VPC) in. AWS I log di connessione consentono di tracciare l'attività degli utenti sull'endpoint VPN e forniscono visibilità. Quando attivi la registrazione delle connessioni, puoi specificare il nome di un flusso di log nel gruppo di log. Se non specifichi un flusso di log, il servizio Client VPN ne crea uno per te.

Correzione

Per abilitare la registrazione delle connessioni, consulta Abilitare la registrazione della connessione per un endpoint Client VPN esistente nella Guida per l'AWS Client VPN amministratore.

[EC2.52] i gateway di EC2 transito devono essere etichettati

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EC2::TransitGateway

AWS Config regola: tagged-ec2-transitgateway (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro	Descrizione	Tipo	Valori personalizzati consentiti	Valore predefinito di Security Hub
`requiredTagKeys`	Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. Le chiavi dei tag prevedono una distinzione tra lettere maiuscole e minuscole.	StringList	Elenco di tag che soddisfano i requisiti AWS	`No default value`

Questo controllo verifica se un gateway di EC2 transito Amazon dispone di tag con le chiavi specifiche definite nel parametrorequiredTagKeys. Il controllo fallisce se il gateway di transito non dispone di chiavi di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il gateway di transito non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Nota

Correzione

Per aggiungere tag a un gateway di EC2 transito, consulta Tagga le tue EC2 risorse Amazon nella Amazon EC2 User Guide.

[EC2.53] i gruppi EC2 di sicurezza non dovrebbero consentire l'accesso da 0.0.0.0/0 alle porte di amministrazione remota del server

Requisiti correlati: CIS Foundations Benchmark v3.0.0/5.2, PCI DSS AWS v4.0.1/1.3.1

Categoria: Protezione > Configurazione di rete sicura > Configurazione del gruppo di sicurezza

Gravità: alta

Tipo di risorsa: AWS::EC2::SecurityGroup

Regola AWS Config : vpc-sg-port-restriction-check

Tipo di pianificazione: periodica

Parametri:

Parametro	Descrizione	Tipo	Valori personalizzati consentiti	Valore predefinito di Security Hub
`ipType`	La versione IP	Stringa	Non personalizzabile	`IPv4`
`restrictPorts`	Elenco di porte che dovrebbero rifiutare il traffico in ingresso	IntegerList	Non personalizzabile	`22,3389`

Questo controllo verifica se un gruppo di EC2 sicurezza Amazon consente l'ingresso da 0.0.0.0/0 alle porte di amministrazione remota del server (porte 22 e 3389). Il controllo fallisce se il gruppo di sicurezza consente l'ingresso da 0.0.0.0/0 alla porta 22 o 3389.

I gruppi di sicurezza forniscono un filtraggio statico del traffico di rete in ingresso e in uscita verso le risorse. AWS È consigliabile che nessun gruppo di sicurezza consenta l'accesso illimitato in ingresso alle porte di amministrazione remota del server, come SSH alla porta 22 e RDP alla porta 3389, utilizzando i protocolli TDP (6), UDP (17) o ALL (-1). Consentire l'accesso pubblico a queste porte aumenta la superficie di attacco delle risorse e il rischio di compromissione delle risorse.

Correzione

Per aggiornare una regola del gruppo EC2 di sicurezza per vietare il traffico in ingresso verso le porte specificate, consulta Update security group rules nella Amazon EC2 User Guide. Dopo aver selezionato un gruppo di sicurezza nella EC2 console Amazon, scegli Azioni, Modifica regole in entrata. Rimuovi la regola che consente l'accesso alla porta 22 o alla porta 3389.

[EC2.54] i gruppi EC2 di sicurezza non dovrebbero consentire l'accesso da: :/0 alle porte di amministrazione remota del server

Requisiti correlati: CIS AWS Foundations Benchmark v3.0.0/5.3, PCI DSS v4.0.1/1.3.1

Categoria: Protezione > Configurazione di rete sicura > Configurazione del gruppo di sicurezza

Gravità: alta

Tipo di risorsa: AWS::EC2::SecurityGroup

Regola AWS Config : vpc-sg-port-restriction-check

Tipo di pianificazione: periodica

Parametri:

Parametro	Descrizione	Tipo	Valori personalizzati consentiti	Valore predefinito di Security Hub
`ipType`	La versione IP	Stringa	Non personalizzabile	`IPv6`
`restrictPorts`	Elenco di porte che dovrebbero rifiutare il traffico in ingresso	IntegerList	Non personalizzabile	`22,3389`

Questo controllo verifica se un gruppo di EC2 sicurezza Amazon consente l'accesso da: :/0 alle porte di amministrazione del server remoto (porte 22 e 3389). Il controllo fallisce se il gruppo di sicurezza consente l'ingresso da: :/0 alla porta 22 o 3389.

Correzione

[EC2.55] VPCs deve essere configurato con un endpoint di interfaccia per l'API ECR

Requisiti correlati: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4) NIST.800-53.r5 SC-7

Categoria: Protezione > Gestione sicura degli accessi > Controllo degli accessi

Gravità: media

Tipo di risorsa:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

Regola AWS Config : vpc-endpoint-enabled

Tipo di pianificazione: periodica

Parametri:

Parametro	Obbligatorio	Descrizione	Tipo	Valori personalizzati consentiti	Valore predefinito di Security Hub
`serviceNames`	Richiesto	Il nome del servizio valutato dal controllo	Stringa	Non personalizzabile	`ecr.api`
`vpcIds`	Facoltativo	Elenco separato da virgole di Amazon VPC per endpoint VPC. IDs Se fornito, il controllo fallisce se i servizi specificati nel `serviceName` parametro non dispongono di uno di questi endpoint VPC.	StringList	Personalizza con uno o più VPC IDs	Nessun valore predefinito

Questo controllo verifica se un cloud privato virtuale (VPC) che gestisci dispone di un endpoint VPC di interfaccia per l'API Amazon ECR. Il controllo fallisce se il VPC non dispone di un endpoint VPC di interfaccia per l'API ECR. Questo controllo valuta le risorse in un singolo account.

AWS PrivateLink consente ai clienti di accedere ai servizi ospitati AWS in modo altamente disponibile e scalabile, mantenendo tutto il traffico di rete all'interno della AWS rete. Gli utenti del servizio possono accedere in modo privato ai servizi forniti PrivateLink dal proprio VPC o dall'ambiente locale, senza utilizzare il servizio IPs pubblico e senza richiedere che il traffico attraversi su Internet.

Correzione

Per configurare un endpoint VPC, consulta Accedere e Servizio AWS utilizzare un endpoint VPC di interfaccia nella Guida.AWS PrivateLink

[EC2.56] VPCs deve essere configurato con un endpoint di interfaccia per Docker Registry

Requisiti correlati: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4) NIST.800-53.r5 SC-7

Categoria: Protezione > Gestione sicura degli accessi > Controllo degli accessi

Gravità: media

Tipo di risorsa:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

Regola AWS Config : vpc-endpoint-enabled

Tipo di pianificazione: periodica

Parametri:

Parametro	Obbligatorio	Descrizione	Tipo	Valori personalizzati consentiti	Valore predefinito di Security Hub
`serviceNames`	Richiesto	Il nome del servizio valutato dal controllo	Stringa	Non personalizzabile	`ecr.dkr`
`vpcIds`	Facoltativo	Elenco separato da virgole di Amazon VPC per endpoint VPC. IDs Se fornito, il controllo fallisce se i servizi specificati nel `serviceName` parametro non dispongono di uno di questi endpoint VPC.	StringList	Personalizza con uno o più VPC IDs	Nessun valore predefinito

Questo controllo verifica se un cloud privato virtuale (VPC) che gestisci ha un endpoint VPC di interfaccia per Docker Registry. Il controllo fallisce se il VPC non dispone di un endpoint VPC di interfaccia per Docker Registry. Questo controllo valuta le risorse in un singolo account.

Correzione

Per configurare un endpoint VPC, consulta Accedere e Servizio AWS utilizzare un endpoint VPC di interfaccia nella Guida.AWS PrivateLink

[EC2.57] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager

Categoria: Protezione > Gestione sicura degli accessi > Controllo degli accessi

Gravità: media

Tipo di risorsa:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

Regola AWS Config : vpc-endpoint-enabled

Tipo di pianificazione: periodica

Parametri:

Parametro	Obbligatorio	Descrizione	Tipo	Valori personalizzati consentiti	Valore predefinito di Security Hub
`serviceNames`	Richiesto	Il nome del servizio valutato dal controllo	Stringa	Non personalizzabile	`ssm`
`vpcIds`	Facoltativo	Elenco separato da virgole di Amazon VPC per endpoint VPC. IDs Se fornito, il controllo fallisce se i servizi specificati nel `serviceName` parametro non dispongono di uno di questi endpoint VPC.	StringList	Personalizza con uno o più VPC IDs	Nessun valore predefinito

Questo controllo verifica se un cloud privato virtuale (VPC) che gestisci dispone di un'interfaccia per un endpoint VPC. AWS Systems Manager Il controllo fallisce se il VPC non dispone di un endpoint VPC di interfaccia per Systems Manager. Questo controllo valuta le risorse in un singolo account.

Correzione

Per configurare un endpoint VPC, consulta Accedere e Servizio AWS utilizzare un endpoint VPC di interfaccia nella Guida.AWS PrivateLink

[EC2.58] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager Contacts

Categoria: Protezione > Gestione sicura degli accessi > Controllo degli accessi

Gravità: media

Tipo di risorsa:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

Regola AWS Config : vpc-endpoint-enabled

Tipo di pianificazione: periodica

Parametri:

Parametro	Obbligatorio	Descrizione	Tipo	Valori personalizzati consentiti	Valore predefinito di Security Hub
`serviceNames`	Richiesto	Il nome del servizio valutato dal controllo	Stringa	Non personalizzabile	`ssm-contacts`
`vpcIds`	Facoltativo	Elenco separato da virgole di Amazon VPC per endpoint VPC. IDs Se fornito, il controllo fallisce se i servizi specificati nel `serviceName` parametro non dispongono di uno di questi endpoint VPC.	StringList	Personalizza con uno o più VPC IDs	Nessun valore predefinito

Questo controllo verifica se un cloud privato virtuale (VPC) che gestisci ha un'interfaccia VPC endpoint per Incident Manager Contacts. AWS Systems Manager Il controllo fallisce se il VPC non dispone di un endpoint VPC di interfaccia per Systems Manager Incident Manager Contacts. Questo controllo valuta le risorse in un singolo account.

Correzione

Per configurare un endpoint VPC, consulta Accedere e Servizio AWS utilizzare un endpoint VPC di interfaccia nella Guida.AWS PrivateLink

[EC2.60] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager

Categoria: Protezione > Gestione sicura degli accessi > Controllo degli accessi

Gravità: media

Tipo di risorsa:AWS::EC2::VPC, AWS::EC2::VPCEndpoint

Regola AWS Config : vpc-endpoint-enabled

Tipo di pianificazione: periodica

Parametri:

Parametro	Obbligatorio	Descrizione	Tipo	Valori personalizzati consentiti	Valore predefinito di Security Hub
`serviceNames`	Richiesto	Il nome del servizio valutato dal controllo	Stringa	Non personalizzabile	`ssm-incidents`
`vpcIds`	Facoltativo	Elenco separato da virgole di Amazon VPC per endpoint VPC. IDs Se fornito, il controllo fallisce se i servizi specificati nel `serviceName` parametro non dispongono di uno di questi endpoint VPC.	StringList	Personalizza con uno o più VPC IDs	Nessun valore predefinito

Questo controllo verifica se un cloud privato virtuale (VPC) che gestisci ha un'interfaccia VPC endpoint per Incident Manager. AWS Systems Manager Il controllo fallisce se il VPC non dispone di un endpoint VPC di interfaccia per Systems Manager Incident Manager. Questo controllo valuta le risorse in un singolo account.

Correzione

Per configurare un endpoint VPC, consulta Accedere e Servizio AWS utilizzare un endpoint VPC di interfaccia nella Guida.AWS PrivateLink

[EC2.170] i modelli di EC2 avvio devono utilizzare Instance Metadata Service Version 2 () IMDSv2

Requisiti correlati: PCI DSS v4.0.1/2.2.6

Categoria: Proteggi > Sicurezza di rete

Gravità: bassa

Tipo di risorsa: AWS::EC2::LaunchTemplate

Regola AWS Config : ec2-launch-template-imdsv2-check

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se un modello di EC2 lancio di Amazon è configurato con Instance Metadata Service versione 2 (IMDSv2). Il controllo fallisce se HttpTokens è impostato su. optional

L'esecuzione delle risorse sulle versioni software supportate garantisce prestazioni ottimali, sicurezza e accesso alle funzionalità più recenti. Gli aggiornamenti regolari proteggono dalle vulnerabilità, il che aiuta a garantire un'esperienza utente stabile ed efficiente.

Correzione

Per richiederlo IMDSv2 su un modello di EC2 avvio, consulta la sezione Configurazione delle opzioni del servizio di metadati dell'istanza nella Amazon EC2 User Guide.

[EC2.171] Le connessioni EC2 VPN devono avere la registrazione abilitata

Requisiti correlati: CIS AWS Foundations Benchmark v3.0.0/5.3, PCI DSS v4.0.1/10.4.2

Categoria: Identificazione > Registrazione

Gravità: media

Tipo di risorsa: AWS::EC2::VPNConnection

Regola AWS Config : ec2-vpn-connection-logging-enabled

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se una connessione AWS Site-to-Site VPN ha Amazon CloudWatch Logs abilitato per entrambi i tunnel. Il controllo fallisce se una connessione Site-to-Site VPN non ha CloudWatch i log abilitati per entrambi i tunnel.

AWS Site-to-Site I log VPN ti offrono una visibilità più approfondita sulle tue Site-to-Site implementazioni VPN. Con questa funzionalità, hai accesso ai registri delle connessioni Site-to-Site VPN che forniscono dettagli sulla creazione del tunnel IP Security (IPsec), sulle negoziazioni IKE (Internet Key Exchange) e sui messaggi del protocollo Dead Peer Detection (DPD). Site-to-Site I log VPN possono essere pubblicati in CloudWatch Logs. Questa funzionalità offre ai clienti un unico modo coerente per accedere e analizzare i log dettagliati di tutte le loro Site-to-Site connessioni VPN.

Correzione

Per abilitare la registrazione del tunnel su una connessione EC2 VPN, consulta i registri AWS Site-to-Site VPN nella Guida per l'utente della AWS Site-to-Site VPN.

[EC2.172] Le impostazioni EC2 VPC Block Public Access dovrebbero bloccare il traffico del gateway Internet

Categoria: Proteggi > Configurazione di rete sicura > Risorse non accessibili al pubblico

Gravità: media

Tipo di risorsa: AWS::EC2::VPCBlockPublicAccessOptions

AWS Config regola: ec2-vpc-bpa-internet-gateway-blocked (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro	Descrizione	Tipo	Valori personalizzati consentiti	Valore predefinito di Security Hub
`vpcBpaInternetGatewayBlockMode`	Valore stringa della modalità opzioni VPC BPA.	Enum	`block-bidirectional`, `block-ingress`	Nessun valore predefinito

Questo controllo verifica se le impostazioni di Amazon EC2 VPC Block Public Access (BPA) sono configurate per bloccare il traffico del gateway Internet per tutti gli Amazon VPCs nel. Account AWS Il controllo fallisce se le impostazioni VPC BPA non sono configurate per bloccare il traffico del gateway Internet. Affinché il controllo passi, il VPC BPA InternetGatewayBlockMode deve essere impostato su o. block-bidirectional block-ingress Se vpcBpaInternetGatewayBlockMode viene fornito il parametro, il controllo passa solo se il valore VPC BPA per InternetGatewayBlockMode corrisponde al parametro.

La configurazione delle impostazioni VPC BPA per il tuo account consente di impedire alle risorse e alle sottoreti di tua proprietà VPCs in quella regione di raggiungere o essere raggiunte da Internet tramite gateway Internet e gateway Internet solo in uscita. Regione AWS Se hai bisogno di sottoreti specifiche VPCs per poter raggiungere o essere raggiungibile da Internet, puoi escluderle configurando le esclusioni VPC BPA. Per istruzioni su come creare ed eliminare esclusioni, consulta Creare ed eliminare esclusioni nella Amazon VPC User Guide.

Correzione

Per abilitare il BPA bidirezionale a livello di account, consulta Abilita la modalità bidirezionale BPA per il tuo account nella Amazon VPC User Guide. Per abilitare il BPA solo in ingresso, consulta Modificare la modalità VPC BPA in solo ingresso. Per abilitare VPC BPA a livello di organizzazione, consulta Abilitare VPC BPA a livello di organizzazione.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Controlli Amazon DynamoDB

Controlli di Amazon EC2 Auto Scaling