AWS Standard Foundational Security Best Practices v1.0.0 (FSBP) - AWS Security Hub

Controlli che si applicano allo standard FSBP

AWS Standard Foundational Security Best Practices v1.0.0 (FSBP)

Lo standard AWS Foundational Security Best Practices è un insieme di controlli che rilevano quando le tue Account AWS risorse si discostano dalle migliori pratiche di sicurezza.

Lo standard ti consente di valutare continuamente tutti i tuoi Account AWS carichi di lavoro per identificare rapidamente le aree di deviazione dalle migliori pratiche. Fornisce indicazioni pratiche e prescrittive su come migliorare e mantenere il livello di sicurezza dell'organizzazione.

I controlli includono le migliori pratiche di sicurezza per risorse provenienti da più fonti. Servizi AWS A ogni controllo viene inoltre assegnata una categoria che riflette la funzione di sicurezza a cui si applica. Per ulteriori informazioni, consulta Elenco delle categorie di controllo in Security Hub.

Controlli che si applicano allo standard FSBP

[Account.1] Le informazioni di contatto di sicurezza devono essere fornite per un Account AWS

[ACM.1] I certificati ACM importati ed emessi devono essere rinnovati dopo un periodo di tempo specificato

[ACM.2] RSA i certificati gestiti da ACM devono utilizzare una lunghezza di chiave di almeno 2.048 bit

[APIGateway.1] Il API gateway REST e la registrazione WebSocket API dell'esecuzione devono essere abilitati

[APIGateway.2] REST API Le fasi del API gateway devono essere configurate per utilizzare i SSL certificati per l'autenticazione del backend

[APIGateway.3] Le REST API fasi del API gateway devono avere AWS X-Ray la traccia abilitata

[APIGateway.4] Il API gateway deve essere associato a un sito Web WAF ACL

[APIGateway.5] I dati REST API della cache del API gateway devono essere crittografati quando sono inattivi

[APIGateway.8] Le route API gateway devono specificare un tipo di autorizzazione

[APIGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages

[AppSync.1] le AWS AppSync API cache devono essere crittografate quando sono inattive

[AppSync.2] AWS AppSync dovrebbe avere la registrazione a livello di campo abilitata

[AppSync.5] AWS AppSync APIs GraphQL non deve essere autenticato con chiavi API

[AppSync.6] le AWS AppSync API cache devono essere crittografate in transito

[Athena.4] I gruppi di lavoro Athena devono avere la registrazione abilitata

[AutoScaling.1] I gruppi di Auto Scaling associati a un sistema di bilanciamento del carico devono utilizzare controlli di integrità ELB

[AutoScaling.2] Il gruppo Amazon EC2 Auto Scaling dovrebbe coprire più zone di disponibilità

[AutoScaling.3] Le configurazioni di avvio del gruppo Auto Scaling devono EC2 configurare le istanze in modo da richiedere Instance Metadata Service versione 2 () IMDSv2

[Autoscaling.5] Le istanze EC2 Amazon avviate utilizzando le configurazioni di avvio del gruppo Auto Scaling non devono avere indirizzi IP pubblici

[AutoScaling.6] I gruppi di Auto Scaling devono utilizzare più tipi di istanze in più zone di disponibilità

[AutoScaling.9] I gruppi Amazon EC2 Auto Scaling devono utilizzare i modelli di lancio di Amazon EC2

[Backup.1] AWS Backup i punti di ripristino devono essere crittografati quando sono inattivi

[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato

[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito

[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine

[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata

[CloudFront.6] le CloudFront distribuzioni avrebbero dovuto essere abilitate WAF

[CloudFront.7] CloudFront le distribuzioni devono utilizzare certificati/personalizzati SSL TLS

[CloudFront.8] le CloudFront distribuzioni dovrebbero utilizzare per soddisfare le richieste SNI HTTPS

[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate

[CloudFront.10] CloudFront le distribuzioni non devono utilizzare SSL protocolli obsoleti tra edge location e origini personalizzate

[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti

[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine

[CloudTrail.1] CloudTrail deve essere abilitato e configurato con almeno un percorso multiregionale che includa eventi di gestione di lettura e scrittura

[CloudTrail.2] CloudTrail dovrebbe avere la crittografia a riposo abilitata

[CloudTrail.4] la convalida dei file di CloudTrail registro dovrebbe essere abilitata

[CloudTrail.5] i CloudTrail trail devono essere integrati con Amazon Logs CloudWatch

[CodeBuild.1] L'archivio dei sorgenti di CodeBuild Bitbucket non URLs deve contenere credenziali sensibili

[CodeBuild.2] Le variabili di ambiente CodeBuild del progetto non devono contenere credenziali di testo non crittografato

[CodeBuild.3] I log CodeBuild S3 devono essere crittografati

[CodeBuild.4] Gli ambienti di CodeBuild progetto devono avere una durata di registrazione AWS Config

[CodeBuild.7] Le esportazioni dei gruppi di CodeBuild report devono essere crittografate quando sono inattive

[Config.1] AWS Config deve essere abilitato e utilizzare il ruolo collegato al servizio per la registrazione delle risorse

[DataFirehose.1] I flussi di distribuzione di Firehose devono essere crittografati quando sono inattivi

[DataSync.1] DataSync le attività devono avere la registrazione abilitata

[DMS.1] Le istanze di replica del Database Migration Service non devono essere pubbliche

[DMS.6] nelle istanze di DMS replica dovrebbe essere abilitato l'aggiornamento automatico delle versioni secondarie

[DMS.7] le attività di DMS replica per il database di destinazione devono avere la registrazione abilitata

[DMS.8] le attività di DMS replica per il database di origine devono avere la registrazione abilitata

[DMS.9] gli endpoint devono utilizzare DMS SSL

[DMS.10] gli DMS endpoint per i database Neptune devono avere l'autorizzazione abilitata IAM

[DMS.11] gli DMS endpoint per MongoDB devono avere un meccanismo di autenticazione abilitato

[DMS.12] DMS gli endpoint per Redis avrebbero dovuto essere abilitati OSS TLS

[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi

[DocumentDB.2] I cluster Amazon DocumentDB devono avere un periodo di conservazione dei backup adeguato

[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche

[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch

[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata

[DynamoDB.1] Le tabelle DynamoDB dovrebbero scalare automaticamente la capacità in base alla domanda

[DynamoDB.2] Le tabelle DynamoDB dovrebbero avere il ripristino abilitato point-in-time

[DynamoDB.3] I cluster DynamoDB Accelerator () devono essere crittografati quando sono inattivi DAX

[DynamoDB.6] Le tabelle DynamoDB devono avere la protezione da eliminazione abilitata

[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito

[EC2.1] Gli snapshot di Amazon EBS non devono essere ripristinabili pubblicamente

[EC2.2] I gruppi di sicurezza VPC predefiniti non dovrebbero consentire il traffico in entrata o in uscita

[EC2.3] I volumi Amazon EBS collegati devono essere crittografati a riposo

[EC2.4] Le EC2 istanze interrotte devono essere rimosse dopo un periodo di tempo specificato

[EC2.6] La registrazione del flusso VPC deve essere abilitata in tutti i casi VPCs

[EC2.7] La crittografia predefinita di EBS deve essere abilitata

[EC2.8] EC2 le istanze devono utilizzare Instance Metadata Service versione 2 () IMDSv2

[EC2.9] EC2 Le istanze Amazon non devono avere un indirizzo pubblico IPv4

[EC2.10] Amazon EC2 deve essere configurato per utilizzare gli endpoint VPC creati per il servizio Amazon EC2

[EC2.15] Le EC2 sottoreti Amazon non devono assegnare automaticamente indirizzi IP pubblici

[EC2.16] Gli elenchi di controllo degli accessi alla rete non utilizzati devono essere rimossi

[EC2.17] EC2 Le istanze Amazon non devono utilizzare più istanze ENIs

[EC2.18] I gruppi di sicurezza devono consentire il traffico in entrata senza restrizioni solo per le porte autorizzate

[EC2.19] I gruppi di sicurezza non devono consentire l'accesso illimitato alle porte ad alto rischio

[EC2.20] Entrambi i tunnel VPN per una connessione AWS Site-to-Site VPN dovrebbero essere attivi

[EC2.21] La rete non ACLs dovrebbe consentire l'ingresso dalla porta 0.0.0.0/0 alla porta 22 o alla porta 3389

[EC2.23] Amazon EC2 Transit Gateways non dovrebbe accettare automaticamente le richieste di allegati VPC

[EC2.24] I tipi di istanze EC2 paravirtuali di Amazon non devono essere utilizzati

[EC2.25] I modelli di EC2 lancio di Amazon non devono assegnare interfacce IPs di rete pubbliche

[EC2.51] Gli endpoint EC2 Client VPN devono avere la registrazione delle connessioni client abilitata

[EC2.55] VPCs deve essere configurato con un endpoint di interfaccia per l'API ECR

[EC2.56] VPCs deve essere configurato con un endpoint di interfaccia per Docker Registry

[EC2.57] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager

[EC2.58] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager Contacts

[EC2.60] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager

[EC2.170] i modelli di EC2 avvio devono utilizzare Instance Metadata Service Version 2 () IMDSv2

[EC2.171] Le connessioni EC2 VPN devono avere la registrazione abilitata

[EC2.172] Le impostazioni EC2 VPC Block Public Access dovrebbero bloccare il traffico del gateway Internet

[ECR.1] I repository ECR privati dovrebbero avere la scansione delle immagini configurata

[ECR.2] I repository ECR privati devono avere configurata l'immutabilità dei tag

[ECR.3] I ECR repository devono avere almeno una politica del ciclo di vita configurata

[ECS.1] Le definizioni delle ECS attività di Amazon devono avere modalità di rete e definizioni utente sicure.

[ECS.2] ECS ai servizi non devono essere assegnati automaticamente indirizzi IP pubblici

[ECS.3] le definizioni delle ECS attività non devono condividere lo spazio dei nomi dei processi dell'host

[ECS.4] ECS I contenitori devono essere eseguiti come non privilegiati

[ECS.5] ECS I contenitori devono essere limitati all'accesso in sola lettura ai filesystem root

[ECS.8] I segreti non devono essere passati come variabili di ambiente del contenitore

[ECS.9] le definizioni delle ECS attività devono avere una configurazione di registrazione

[ECS.10] I servizi ECS Fargate devono essere eseguiti sulla versione più recente della piattaforma Fargate

[ECS.12] ECS i cluster devono utilizzare Container Insights

[ECS.16] i set di ECS attività non devono assegnare automaticamente indirizzi IP pubblici

[EFS.1] Elastic File System deve essere configurato per crittografare i dati dei file archiviati utilizzando AWS KMS

[EFS.2] EFS I volumi Amazon devono essere inclusi nei piani di backup

[EFS.3] i punti di EFS accesso devono applicare una directory principale

[EFS.4] i punti di EFS accesso devono imporre l'identità di un utente

[EFS.6] gli obiettivi di EFS montaggio non devono essere associati a una sottorete pubblica

[EFS.7] i EFS file system devono avere i backup automatici abilitati

[EFS.8] i EFS file system devono essere crittografati quando sono inattivi

[EKS.1] gli endpoint EKS del cluster non dovrebbero essere accessibili al pubblico

[EKS.2] EKS i cluster devono essere eseguiti su una versione di Kubernetes supportata

[EKS.3] i EKS cluster devono utilizzare segreti Kubernetes criptati

[EKS.8] i EKS cluster dovrebbero avere la registrazione di controllo abilitata

I cluster [ElastiCache.1] ElastiCache (RedisOSS) devono avere i backup automatici abilitati

[ElastiCache.2] i ElastiCache cluster dovrebbero avere gli aggiornamenti automatici delle versioni secondarie abilitati

[ElastiCache.3] i gruppi di ElastiCache replica devono avere il failover automatico abilitato

[ElastiCache.4] i gruppi di ElastiCache replica devono essere crittografati quando sono inattivi

[ElastiCache.5] i gruppi di ElastiCache replica devono essere crittografati in transito

[ElastiCache.6] I gruppi di replica ElastiCache (RedisOSS) delle versioni precedenti dovrebbero avere Redis abilitato OSS AUTH

[ElastiCache.7] i ElastiCache cluster non devono utilizzare il gruppo di sottoreti predefinito

[ElasticBeanstalk.1] Gli ambienti Elastic Beanstalk dovrebbero avere la reportistica sullo stato avanzata abilitata

[ElasticBeanstalk.2] Gli aggiornamenti della piattaforma gestita da Elastic Beanstalk devono essere abilitati

[ElasticBeanstalk.3] Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch

[ELB.1] Application Load Balancer deve essere configurato per HTTP reindirizzare tutte le richieste a HTTPS

[ELB.2] I sistemi Classic Load Balancer conSSL/HTTPSlistener devono utilizzare un certificato fornito da AWS Certificate Manager

[ELB.3] I listener Classic Load Balancer devono essere configurati con o terminazione HTTPS TLS

[ELB.4] L'Application Load Balancer deve essere configurato per eliminare le intestazioni http non valide

[ELB.5] La registrazione di Application e Classic Load Balancers deve essere abilitata

[ELB.6] Application, Gateway e Network Load Balancer devono avere la protezione da eliminazione abilitata

[ELB.7] I Classic Load Balancer devono avere abilitato il drenaggio della connessione

[ELB.8] I sistemi Classic Load Balancer con SSL listener devono utilizzare una politica di sicurezza predefinita con una durata elevata AWS Config

[ELB.9] I Classic Load Balancer devono avere il bilanciamento del carico tra zone abilitato

[ELB.10] Classic Load Balancer dovrebbe estendersi su più zone di disponibilità

[ELB.12] Application Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa

[ELB.13] I Load Balancer per applicazioni, reti e gateway devono estendersi su più zone di disponibilità

[ELB.14] Classic Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa

[EMR.1] I nodi primari del cluster Amazon EMR non devono avere indirizzi IP pubblici

[EMR.2] L'impostazione di accesso pubblico a blocchi di Amazon EMR deve essere abilitata

[EMR.3] Le configurazioni di sicurezza di Amazon EMR devono essere crittografate quando sono inattive

[EMR.4] Le configurazioni di sicurezza di Amazon EMR devono essere crittografate in transito

[ES.1] I domini Elasticsearch devono avere la crittografia a riposo abilitata

[ES.2] I domini Elasticsearch non devono essere accessibili al pubblico

[ES.3] I domini Elasticsearch devono crittografare i dati inviati tra i nodi

[ES.4] La registrazione degli errori del dominio Elasticsearch nei log deve essere abilitata CloudWatch

[ES.5] I domini Elasticsearch devono avere la registrazione di controllo abilitata

[ES.6] I domini Elasticsearch devono avere almeno tre nodi di dati

[ES.7] I domini Elasticsearch devono essere configurati con almeno tre nodi master dedicati

[ES.8] Le connessioni ai domini Elasticsearch devono essere crittografate utilizzando la più recente politica di sicurezza TLS

[EventBridge.3] i bus di eventi EventBridge personalizzati devono avere una politica basata sulle risorse allegata

[FSx.1] FSx per i ZFS file system Open deve essere configurato per copiare i tag su backup e volumi

[FSx.2] FSx per i file system Lustre deve essere configurato per copiare i tag nei backup

[Glue.3] le trasformazioni di apprendimento AWS Glue automatico devono essere crittografate a riposo

[GuardDuty.1] GuardDuty dovrebbe essere abilitato

[GuardDuty.5] Il monitoraggio GuardDuty EKS dei log di controllo deve essere abilitato

[GuardDuty.6] La protezione GuardDuty Lambda deve essere abilitata

[GuardDuty.7] Il monitoraggio del GuardDuty EKS runtime deve essere abilitato

[GuardDuty.8] La protezione GuardDuty da malware per EC2 deve essere abilitata

[GuardDuty.9] GuardDuty RDS La protezione deve essere abilitata

[GuardDuty.10] La protezione GuardDuty S3 deve essere abilitata

[IAM.1] Le politiche IAM non dovrebbero consentire privilegi amministrativi «*» completi

[IAM.2] Gli utenti IAM non devono avere policy IAM allegate

[IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno

[IAM.4] La chiave di accesso utente root IAM non dovrebbe esistere

[IAM.5] MFA deve essere abilitata per tutti gli utenti IAM che dispongono di una password della console

[IAM.6] L'autenticazione MFA per l'hardware deve essere abilitata per l'utente root

[IAM.7] Le politiche relative alle password per gli utenti IAM dovrebbero avere configurazioni solide

[IAM.8] Le credenziali utente IAM non utilizzate devono essere rimosse

[IAM.21] Le policy gestite dai clienti IAM che create non dovrebbero consentire azioni jolly per i servizi

[Inspector.1] La scansione di Amazon Inspector deve essere abilitata EC2

[Inspector.2] La scansione di Amazon Inspector deve essere abilitata ECR

[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata

[Inspector.4] La scansione standard di Amazon Inspector Lambda deve essere abilitata

[Kinesis.1] Gli stream Kinesis devono essere crittografati quando sono inattivi

[Kinesis.3] I flussi Kinesis devono avere un periodo di conservazione dei dati adeguato

[KMS.1] Le politiche gestite dai clienti di IAM non dovrebbero consentire azioni di decrittografia su tutte le chiavi KMS

[KMS.2] I principali IAM non devono disporre di policy IAM in linea che consentano azioni di decrittografia su tutte le chiavi KMS

[KMS.3] AWS KMS keys non deve essere eliminato involontariamente

[KMS.5] Le chiavi KMS non devono essere accessibili al pubblico

[Lambda.1] Le politiche delle funzioni Lambda dovrebbero vietare l'accesso pubblico

[Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati

[Lambda.5] Le funzioni VPC Lambda devono funzionare in più zone di disponibilità

[Macie.1] Amazon Macie dovrebbe essere abilitato

[Macie.2] Il rilevamento automatico dei dati sensibili di Macie deve essere abilitato

[MQ.2] I broker ActiveMQ devono trasmettere i log di controllo a CloudWatch

[MQ.3] I broker Amazon MQ dovrebbero avere abilitato l'aggiornamento automatico delle versioni secondarie

[MSK.1] MSK i cluster devono essere crittografati durante il transito tra i nodi broker

[MSK.3] I connettori MSK Connect devono essere crittografati in transito

[Neptune.1] I cluster Neptune DB devono essere crittografati a riposo

[Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch

[Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche

[Neptune.4] I cluster Neptune DB devono avere la protezione da eliminazione abilitata

[Neptune.5] I cluster Neptune DB devono avere i backup automatici abilitati

[Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive

[Neptune.7] I cluster Neptune DB devono avere l'autenticazione del database abilitata IAM

[Neptune.8] I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee

[NetworkFirewall.2] La registrazione del Network Firewall deve essere abilitata

[NetworkFirewall.3] Le policy di Network Firewall devono avere almeno un gruppo di regole associato

[NetworkFirewall.4] L'azione stateless predefinita per le policy del Network Firewall dovrebbe essere drop or forward per pacchetti completi

[NetworkFirewall.5] L'azione stateless predefinita per le policy del Network Firewall dovrebbe essere drop or forward per i pacchetti frammentati

[NetworkFirewall.6] Il gruppo di regole Stateless Network Firewall non deve essere vuoto

[NetworkFirewall.9] I firewall Network Firewall devono avere la protezione da eliminazione abilitata

I OpenSearch domini [Opensearch.1] devono avere la crittografia a riposo abilitata

I OpenSearch domini [Opensearch.2] non devono essere accessibili al pubblico

I OpenSearch domini [Opensearch.3] devono crittografare i dati inviati tra i nodi

La registrazione degli errori del OpenSearch dominio [Opensearch.4] nei log dovrebbe essere abilitata CloudWatch

I OpenSearch domini [Opensearch.5] devono avere la registrazione di controllo abilitata

I OpenSearch domini [Opensearch.6] devono avere almeno tre nodi di dati

I OpenSearch domini [Opensearch.7] devono avere un controllo degli accessi granulare abilitato

[Opensearch.8] Le connessioni ai OpenSearch domini devono essere crittografate utilizzando la più recente politica di sicurezza TLS

Nei OpenSearch domini [Opensearch.10] deve essere installato l'ultimo aggiornamento software

L'autorità di certificazione AWS Private CA principale [PCA.1] deve essere disabilitata

[Route53.2] Le zone ospitate pubblicamente su Route 53 devono registrare le interrogazioni DNS

[RDS.1] L'istantanea RDS deve essere privata

[RDS.2] Le istanze DB RDS dovrebbero vietare l'accesso pubblico, come determinato dalla configurazione PubliclyAccessible

[RDS.3] Le istanze database RDS devono avere la crittografia dei dati inattivi abilitata

[RDS.4] Le istantanee dei cluster RDS e le istantanee del database devono essere crittografate quando sono inattive

[RDS.5] Le istanze DB RDS devono essere configurate con più zone di disponibilità

[RDS.6] Il monitoraggio avanzato deve essere configurato per le istanze DB RDS

[RDS.7] I cluster RDS devono avere la protezione da eliminazione abilitata

[RDS.8] Le istanze DB RDS devono avere la protezione da eliminazione abilitata

[RDS.9] Le istanze DB RDS devono pubblicare i log in Logs CloudWatch

[RDS.10] L'autenticazione IAM deve essere configurata per le istanze RDS

[RDS.11] Le istanze RDS devono avere i backup automatici abilitati

[RDS.12] L'autenticazione IAM deve essere configurata per i cluster RDS

[RDS.13] Gli aggiornamenti automatici delle versioni secondarie di RDS devono essere abilitati

[RDS.14] I cluster Amazon Aurora devono avere il backtracking abilitato

[RDS.15] I cluster RDS DB devono essere configurati per più zone di disponibilità

[RDS.16] I cluster RDS DB devono essere configurati per copiare i tag nelle istantanee

[RDS.17] Le istanze DB RDS devono essere configurate per copiare i tag nelle istantanee

[RDS.18] Le istanze RDS devono essere distribuite in un VPC

[RDS.19] Le sottoscrizioni esistenti per le notifiche di eventi RDS devono essere configurate per gli eventi critici del cluster

[RDS.20] Le sottoscrizioni di notifica degli eventi RDS esistenti devono essere configurate per gli eventi critici delle istanze di database

[RDS.21] È necessario configurare un abbonamento alle notifiche di eventi RDS per gli eventi critici del gruppo di parametri del database

[RDS.22] È necessario configurare un abbonamento alle notifiche di eventi RDS per gli eventi critici dei gruppi di sicurezza del database

[RDS.23] Le istanze RDS non devono utilizzare una porta predefinita del motore di database

[RDS.24] I cluster di database RDS devono utilizzare un nome utente di amministratore personalizzato

[RDS.25] Le istanze del database RDS devono utilizzare un nome utente di amministratore personalizzato

[RDS.27] I cluster RDS DB devono essere crittografati quando sono inattivi

[RDS.34] I cluster Aurora MySQL DB devono pubblicare i log di controllo nei registri CloudWatch

[RDS.35] Nei cluster RDS DB deve essere abilitato l'aggiornamento automatico delle versioni secondarie

[RDS.36] Le istanze DB di RDS per PostgreSQL devono pubblicare i log nei log CloudWatch

[RDS.37] I cluster Aurora PostgreSQL DB devono pubblicare i log nei log CloudWatch

[Redshift.1] I cluster Amazon Redshift dovrebbero vietare l'accesso pubblico

[Redshift.2] Le connessioni ai cluster Amazon Redshift devono essere crittografate in transito

[Redshift.3] I cluster Amazon Redshift devono avere le istantanee automatiche abilitate

[Redshift.4] I cluster Amazon Redshift devono avere la registrazione di controllo abilitata

[Redshift.6] Amazon Redshift dovrebbe avere gli upgrade automatici alle versioni principali abilitati

[Redshift.7] I cluster Redshift dovrebbero utilizzare un routing avanzato VPC

[Redshift.8] I cluster Amazon Redshift non devono utilizzare il nome utente amministratore predefinito

[Redshift.9] I cluster Redshift non devono utilizzare il nome di database predefinito

[Redshift.10] I cluster Redshift devono essere crittografati a riposo

[Redshift.15] I gruppi di sicurezza Redshift dovrebbero consentire l'ingresso sulla porta del cluster solo da origini limitate

[S3.1] I bucket generici S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate

[S3.2] I bucket S3 per uso generico dovrebbero bloccare l'accesso pubblico in lettura

[S3.3] I bucket generici S3 dovrebbero bloccare l'accesso pubblico in scrittura

[S3.5] I bucket generici S3 devono richiedere l'utilizzo di richieste SSL

[S3.6] Le policy generiche relative ai bucket di S3 dovrebbero limitare l'accesso ad altri Account AWS

[S3.8] I bucket generici S3 dovrebbero bloccare l'accesso pubblico

[S3.9] I bucket generici S3 devono avere la registrazione degli accessi al server abilitata

[S3.12] non ACLs deve essere usato per gestire l'accesso degli utenti ai bucket generici S3

[S3.13] I bucket S3 per uso generico devono avere configurazioni del ciclo di vita

[S3.19] I punti di accesso S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate

[S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate

[SageMaker.1] Le istanze di notebook Amazon SageMaker AI non devono avere accesso diretto a Internet

[SageMaker.2] Le istanze di notebook SageMaker AI devono essere avviate in un VPC personalizzato

[SageMaker.3] Gli utenti non devono avere accesso root alle istanze di notebook SageMaker AI

[SageMaker.4] Le varianti di produzione di endpoint SageMaker AI devono avere un numero iniziale di istanze superiore a 1

[SageMaker.5] i SageMaker modelli dovrebbero bloccare il traffico in entrata

[SecretsManager.1] I segreti di Secrets Manager devono avere la rotazione automatica abilitata

[SecretsManager.2] I segreti di Secrets Manager configurati con rotazione automatica dovrebbero ruotare correttamente

[SecretsManager.3] Rimuovi i segreti inutilizzati di Secrets Manager

[SecretsManager.4] I segreti di Secrets Manager devono essere ruotati entro un determinato numero di giorni

[ServiceCatalog.1] I portafogli Service Catalog devono essere condivisi all'interno di un AWS solo organizzazione

[SNS.4] le politiche di accesso agli SNS argomenti non dovrebbero consentire l'accesso pubblico

[SQS.1] Le SQS code di Amazon devono essere crittografate quando sono inattive

[SSM.1] EC2 Le istanze Amazon devono essere gestite da AWS Systems Manager

[SSM.2] EC2 Le istanze Amazon gestite da Systems Manager devono avere uno stato di conformità delle patch pari a COMPLIANT dopo l'installazione della patch

[SSM.3] EC2 Le istanze Amazon gestite da Systems Manager devono avere uno stato di conformità dell'associazione pari a COMPLIANT

[SSM.4] SSM i documenti non devono essere pubblici

[StepFunctions.1] Le macchine a stati Step Functions dovrebbero avere la registrazione attivata

[Transfer.2] I server Transfer Family non devono utilizzare il FTP protocollo per la connessione agli endpoint

[WAF.1] La ACL registrazione Web globale AWS WAF classica deve essere abilitata

[WAF.2] Le regole regionali AWS WAF classiche devono avere almeno una condizione

[WAF.3] I gruppi di regole regionali AWS WAF classici devono avere almeno una regola

[WAF.4] Il sito Web regionale AWS WAF classico ACLs deve avere almeno una regola o un gruppo di regole

[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione

[WAF.7] I gruppi di regole globali AWS WAF classici devono avere almeno una regola

[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole

[WAF.10] AWS WAF web ACLs dovrebbe avere almeno una regola o un gruppo di regole

[WAF.12] AWS WAF le regole devono avere le metriche abilitate CloudWatch

[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi

[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Riferimento agli standard Security Hub

CIS AWS Foundations Benchmark