[IAM.1] IAM le politiche non dovrebbero consentire i privilegi amministrativi completi di tipo «*»[IAM.2] IAM gli utenti non dovrebbero avere politiche allegate IAM [IAM.3] le chiavi di accesso IAM degli utenti devono essere ruotate ogni 90 giorni o meno [IAM.4] la chiave di accesso per l'utente IAM root non dovrebbe esistere [IAM.5] MFA deve essere abilitato per tutti IAM gli utenti che dispongono di una password di console [IAM.6] L'hardware MFA deve essere abilitato per l'utente root [IAM.7] Le politiche in materia di password per IAM gli utenti devono avere configurazioni solide [IAM.8] Le credenziali IAM utente non utilizzate devono essere rimosse [IAM.9] MFA deve essere abilitato per l'utente root [IAM.10] Le politiche relative alle password per IAM gli utenti dovrebbero avere durate elevate AWS Config [IAM.11] Assicurati che IAM la politica delle password richieda almeno una lettera maiuscola [IAM.12] Assicurati che la politica delle IAM password richieda almeno una lettera minuscola [IAM.13] Assicurati che la politica delle IAM password richieda almeno un simbolo [IAM.14] Assicurati che IAM la politica delle password richieda almeno un numero [IAM.15] Assicurati che IAM la politica sulle password richieda una lunghezza minima della password pari o superiore a 14 [IAM.16] Assicurati che IAM la politica delle password impedisca il riutilizzo della password [IAM.17] Assicurati che IAM la politica sulle password faccia scadere le password entro 90 giorni o meno [IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con AWS Support [IAM.19] MFA deve essere abilitato per tutti gli utenti IAM [IAM.20] Evita l'uso dell'utente root [IAM.21] le politiche gestite dai IAM clienti che create non dovrebbero consentire azioni jolly per i servizi [IAM.22] le credenziali IAM utente non utilizzate per 45 giorni devono essere rimosse [IAM.23] Gli analizzatori IAM Access Analyzer devono essere etichettati [IAM.24] i IAM ruoli devono essere etichettati [IAM.25] IAM gli utenti devono essere etichettati [IAM.26] ScadutiSSL/TLSi certificati gestiti in devono essere rimossi IAM [IAM.27] IAM alle identità non dovrebbe essere allegata la policy AWSCloudShellFullAccess [IAM.28] IAM L'analizzatore di accesso esterno Access Analyzer deve essere abilitato

Controlli Security Hub per IAM

Questi AWS Security Hub controlli valutano il servizio e le risorse AWS Identity and Access Management (IAM).

Questi controlli potrebbero non essere disponibili in tutti Regioni AWS. Per ulteriori informazioni, consulta Disponibilità dei controlli per regione.

[IAM.1] IAM le politiche non dovrebbero consentire i privilegi amministrativi completi di tipo «*»

Requisiti correlati: PCI DSS v3.2.1/7.2.1, CIS AWS Foundations Benchmark v1.2.0/1.22, CIS AWS Foundations Benchmark v1.4.0/1.16,, NIST.800-53.r5 AC-2 (1), (15), (7), NIST.800-53.r5 AC-2, (10), (2) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (3) NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6

Categoria: Protezione > Gestione degli accessi sicuri

Gravità: alta

Tipo di risorsa: AWS::IAM::Policy

Regola AWS Config : iam-policy-no-statements-with-admin-access

Tipo di pianificazione: modifica attivata

Parametri:

excludePermissionBoundaryPolicy: true(non personalizzabile)

Questo controllo verifica se la versione predefinita delle IAM politiche (nota anche come politiche gestite dai clienti) dispone dell'accesso come amministratore includendo un'istruzione "Effect": "Allow" con "Action": "*" over"Resource": "*". Il controllo ha esito negativo se si dispone IAM di politiche con tale dichiarazione.

Il controllo verifica solo le policy gestite dal cliente create dall'utente. Non verifica le politiche in linea e AWS gestite.

Le policy IAM definiscono un set di privilegi che vengono concessi a utenti, gruppi o ruoli. Seguendo i consigli di sicurezza standard, si AWS consiglia di concedere il privilegio minimo, vale a dire di concedere solo le autorizzazioni necessarie per eseguire un'attività. Quando si forniscono privilegi amministrativi completi anziché il set di autorizzazioni minimo di cui l'utente ha bisogno, si espongono le risorse a operazioni potenzialmente indesiderate.

Anziché consentire privilegi di amministratore completi, determina ciò che gli utenti devono fare e crea le policy su misura che permettono agli utenti di eseguire solo tali attività. È più sicuro iniziare con un set di autorizzazioni minimo e concedere autorizzazioni aggiuntive quando necessario. Non iniziare con autorizzazioni troppo permissive e cercare di limitarle in un secondo momento.

È necessario rimuovere le policy IAM con un'istruzione "Effect": "Allow" con "Action": "*" su "Resource": "*".

Nota

AWS Config deve essere abilitato in tutte le regioni in cui si utilizza Security Hub. Tuttavia, la registrazione globale delle risorse può essere abilitata in una singola regione. Se si registrano solo risorse globali in una singola area, è possibile disabilitare questo controllo in tutte le aree, ad eccezione dell'area in cui si registrano le risorse globali.

Correzione

Per modificare le IAM politiche in modo che non consentano i privilegi amministrativi «*» completi, consulta Modifica delle IAM politiche nella Guida per l'IAMutente.

[IAM.2] IAM gli utenti non dovrebbero avere politiche allegate IAM

Requisiti correlati: PCI DSS v3.2.1/7.2.1, CIS AWS Foundations Benchmark v3.0.0/1.15, CIS AWS Foundations Benchmark v1.2.0/1.16,, (1), (15), (7), NIST.800-53.r5 AC-2 (3) NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6

Categoria: Protezione > Gestione degli accessi sicuri

Gravità: bassa

Tipo di risorsa: AWS::IAM::User

Regola AWS Config : iam-user-no-policies-check

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se gli IAM utenti hanno delle politiche allegate. Il controllo ha esito negativo se IAM agli utenti sono associate delle politiche. IAMGli utenti devono invece ereditare le autorizzazioni dai IAM gruppi o assumere un ruolo.

Per impostazione predefinita, IAM utenti, gruppi e ruoli non hanno accesso alle AWS risorse. IAMle politiche concedono privilegi a utenti, gruppi o ruoli. Ti consigliamo di applicare le policy IAM direttamente a gruppi e ruoli ma non a utenti. L'assegnazione di privilegi a livello di gruppo o ruolo riduce la complessità di gestione degli accessi, se il numero di utenti cresce. La riduzione della complessità di gestione degli accessi potrebbe a sua volta ridurre l'opportunità per un principale di ricevere o mantenere inavvertitamente privilegi eccessivi.

Nota

AWS Config deve essere abilitato in tutte le regioni in cui si utilizza Security Hub. Tuttavia, la registrazione globale delle risorse può essere abilitata in una singola regione. Se si registrano solo risorse globali in una singola regione, è possibile disabilitare questo controllo in tutte le regioni tranne la regione in cui si registrano le risorse globali.

Correzione

Per risolvere questo problema, crea un IAM gruppo e allega la politica al gruppo. Quindi, aggiungi gli utenti al gruppo. La policy viene applicata a ogni utente nel gruppo. Per rimuovere una politica associata direttamente a un utente, consulta Aggiungere e rimuovere le autorizzazioni di IAM identità nella Guida per l'IAMutente.

[IAM.3] le chiavi di accesso IAM degli utenti devono essere ruotate ogni 90 giorni o meno

Requisiti correlati: CIS AWS Foundations Benchmark v3.0.0/1.14, Foundations Benchmark v1.4.0/1.14, CIS AWS Foundations Benchmark v1.2.0/1.4, (1), (3), (15), v4.0.1/8.3.9, CIS AWS v4.0.1/8.6.3 NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3 PCI DSS PCI DSS

Categoria: Protezione > Gestione degli accessi sicuri

Gravità: media

Tipo di risorsa: AWS::IAM::User

Regola AWS Config : access-keys-rotated

Tipo di pianificazione: periodica

Parametri:

maxAccessKeyAge: 90 (non personalizzabile)

Questo controllo verifica se le chiavi di accesso attive vengono ruotate entro 90 giorni.

Ti consigliamo vivamente di non generare e rimuovere tutte le chiavi di accesso nell'account. Al contrario, la best practice consigliata consiste nel creare uno o più IAM ruoli o utilizzare la federazione tramite AWS IAM Identity Center. È possibile utilizzare questi metodi per consentire agli utenti di accedere a AWS Management Console e AWS CLI.

Ogni approccio ha i suoi casi d'uso. La federazione è generalmente la soluzione migliore per le aziende che dispongono di un elenco centrale esistente o che prevedono di avere bisogno di più IAM utenti rispetto all'attuale limite. Le applicazioni eseguite all'esterno di un AWS ambiente necessitano di chiavi di accesso per l'accesso programmatico alle AWS risorse.

Tuttavia, se le risorse che richiedono l'accesso programmatico vengono eseguite all'interno AWS, è consigliabile utilizzare IAM i ruoli. I ruoli consentono di concedere l'accesso a una risorsa senza codificare l'ID chiave di accesso e la chiave di accesso segreta nella configurazione.

Per ulteriori informazioni sulla protezione delle chiavi di accesso e dell'account, consulta le migliori pratiche per la gestione delle chiavi di AWS accesso nel Riferimenti generali di AWS. Consulta anche il post del blog Linee guida per proteggere l'utente Account AWS durante l'utilizzo dell'accesso programmatico.

Se disponi già di una chiave di accesso, Security Hub consiglia di ruotare le chiavi di accesso ogni 90 giorni. La rotazione delle chiavi di accesso riduce la possibilità di utilizzo di una chiave di accesso associata a un account compromesso o chiuso. Garantisce inoltre che i dati non possano essere accessibili con una vecchia chiave che potrebbe essere stata persa, decifrata o rubata. Aggiorna sempre le applicazioni dopo aver ruotato le chiavi di accesso.

Le chiavi di accesso sono composte da un ID chiave di accesso e una chiave di accesso segreta. Vengono utilizzate per firmare le richieste programmatiche inviate dall'utente. AWS Gli utenti necessitano delle proprie chiavi di accesso per effettuare chiamate programmatiche AWS da AWS CLI, Tools for Windows PowerShell AWS SDKs, the o HTTP chiamate dirette utilizzando le API operazioni per singoli utenti. Servizi AWS

Se l'organizzazione utilizza AWS IAM Identity Center (IAMIdentity Center), gli utenti possono accedere ad Active Directory, a una directory IAM Identity Center integrata o a un altro provider di identità (IdP) collegato a IAM Identity Center. Possono quindi essere mappati a un IAM ruolo che consenta loro di eseguire AWS CLI comandi o AWS API operazioni di chiamata senza la necessità di chiavi di accesso. Per ulteriori informazioni, consulta Configurazione dell'uso AWS IAM Identity Center nella Guida AWS CLI per l'AWS Command Line Interface utente.

Nota

Correzione

Per ruotare le chiavi di accesso più vecchie di 90 giorni, consulta Rotazione delle chiavi di accesso nella Guida per l'IAMutente. Segui le istruzioni per qualsiasi utente con una chiave di accesso di età superiore a 90 giorni.

[IAM.4] la chiave di accesso per l'utente IAM root non dovrebbe esistere

Requisiti correlati: CIS AWS Foundations Benchmark v3.0.0/1.4, CIS AWS Foundations Benchmark v1.4.0/1.4, Foundations Benchmark v1.2.0/1.12, CIS AWS v3.2.1/2.1, PCI DSS v3.2.1/7.2.1, (1), (15), (7), (10), PCI DSS (2) PCI DSS NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6

Categoria: Protezione > Gestione degli accessi sicuri

Severità: critica

Tipo di risorsa: AWS::::Account

Regola AWS Config : iam-root-access-key-check

Tipo di pianificazione: periodica

Parametri: nessuno

Questo controllo verifica se è presente la chiave di accesso dell'utente root.

L'utente root è l'utente con più privilegi in un Account AWS. AWS le chiavi di accesso forniscono l'accesso programmatico a un determinato account.

Security Hub consiglia di rimuovere tutte le chiavi di accesso associate all'utente root. Ciò limita i vettori che possono essere utilizzati per compromettere l'account. Incoraggia inoltre la creazione e l'utilizzo di account basati sul ruolo che dispongono di meno privilegi.

Correzione

Per eliminare la chiave di accesso dell'utente root, vedere Eliminazione delle chiavi di accesso per l'utente root nella Guida per l'IAMutente. Per eliminare le chiavi di accesso dell'utente root da un Account AWS ingresso AWS GovCloud (US), vedere Eliminazione delle chiavi di accesso dell'utente root del mio AWS GovCloud (US) account nella Guida per l'AWS GovCloud (US) utente.

[IAM.5] MFA deve essere abilitato per tutti IAM gli utenti che dispongono di una password di console

Requisiti correlati: CIS AWS Foundations Benchmark v3.0.0/1.10, CIS AWS Foundations Benchmark v1.4.0/1.10, Foundations Benchmark v1.2.0/1.2, CIS AWS (1), (15), NIST.800-53.r5 AC-2 (1), (2), (6), (8), NIST.800-53.r5 AC-3 v4.0.1/8.4.2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 PCI DSS

Categoria: Protezione > Gestione degli accessi sicuri

Gravità: media

Tipo di risorsa: AWS::IAM::User

Regola AWS Config : mfa-enabled-for-iam-console-access

Tipo di pianificazione: periodica

Parametri: nessuno

Questo controllo verifica se l' AWS autenticazione a più fattori (MFA) è abilitata per tutti IAM gli utenti che utilizzano una password della console.

L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione oltre a nome utente e password. Se MFA abilitata, quando un utente accede a un AWS sito Web, gli vengono richiesti il nome utente e la password. Inoltre, viene richiesto loro di immettere un codice di autenticazione dal dispositivo. AWS MFA

Ti consigliamo di abilitarlo MFA per tutti gli account che dispongono di una password per la console. MFAè progettato per fornire una maggiore sicurezza per l'accesso alla console. L'entità principal di autenticazione deve possedere un dispositivo che genera una chiave legata al fattore tempo e deve essere a conoscenza delle credenziali.

Nota

Correzione

Per aggiungere dati MFA per IAM gli utenti, consulta Using Multi-Factor Authentication (MFA) AWS nella Guida per l'IAMutente.

Offriamo una chiave di MFA sicurezza gratuita ai clienti idonei. Verifica se sei idoneo e ordina la tua chiave gratuita.

[IAM.6] L'hardware MFA deve essere abilitato per l'utente root

Requisiti correlati: CIS AWS Foundations Benchmark v3.0.0/1.6, CIS AWS Foundations Benchmark v1.4.0/1.6, CIS AWS Foundations Benchmark v1.2.0/1.14, PCI DSS v3.2.1/8.3.1, (1), NIST.800-53.r5 AC-2 (1), (2), (6), (8), v4.0.1/8.4.2 NIST.800-53.r5 AC-3 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 PCI DSS

Categoria: Protezione > Gestione degli accessi sicuri

Severità: critica

Tipo di risorsa: AWS::::Account

Regola AWS Config : root-account-hardware-mfa-enabled

Tipo di pianificazione: periodica

Parametri: nessuno

Questo controllo verifica se l'utente Account AWS è abilitato a utilizzare un dispositivo hardware di autenticazione a più fattori (MFA) per accedere con le credenziali dell'utente root. Il controllo fallisce se MFA non è abilitato o se alcuni MFA dispositivi virtuali sono autorizzati ad accedere con le credenziali dell'utente root.

Virtual MFA potrebbe non fornire lo stesso livello di sicurezza dei MFA dispositivi hardware. Ti consigliamo di utilizzare solo un MFA dispositivo virtuale mentre attendi l'approvazione dell'acquisto dell'hardware o l'arrivo dell'hardware. Per ulteriori informazioni, consulta Attivazione di un dispositivo (consoleMFA) di autenticazione a più fattori virtuale () nella Guida per l'IAMutente.

Sia la password monouso (TOTP) basata sul tempo sia i token Universal 2nd Factor (U2F) sono validi come opzioni hardware. MFA

Correzione

Per aggiungere un MFA dispositivo hardware per l'utente root, consulta Abilitare un MFA dispositivo hardware per l'utente Account AWS root (console) nella Guida per l'utente. IAM

Offriamo una chiave di MFA sicurezza gratuita ai clienti idonei. Verifica se sei idoneo e ordina la tua chiave gratuita.

[IAM.7] Le politiche in materia di password per IAM gli utenti devono avere configurazioni solide

Requisiti correlati: NIST.800-53.r5 AC-2 (1), (3), NIST.800-53.r5 AC-2 (15), NIST.800-53.r5 AC-3 (1), NIST.800-53.r5 IA-5 v4.0.1/8.3.6, PCI DSS v4.0.1/8.3.7 PCI DSS

Categoria: Protezione > Gestione degli accessi sicuri

Gravità: media

Tipo di risorsa: AWS::::Account

Regola AWS Config : iam-password-policy

Tipo di pianificazione: periodica

Parametri:

Parametro	Descrizione	Tipo	Valori personalizzati consentiti	Valore predefinito di Security Hub
`RequireUppercaseCharacters`	Richiede almeno un carattere maiuscolo nella password	Booleano	`true` o `false`	`true`
`RequireLowercaseCharacters`	Richiede almeno un carattere minuscolo nella password	Booleano	`true` o `false`	`true`
`RequireSymbols`	Richiede almeno un simbolo nella password	Booleano	`true` o `false`	`true`
`RequireNumbers`	Richiedi almeno un numero nella password	Booleano	`true` o `false`	`true`
`MinimumPasswordLength`	Numero minimo di caratteri nella password	Numero intero	`8` Da a `128`	`8`
`PasswordReusePrevention`	Numero di rotazioni della password prima che una vecchia password possa essere riutilizzata	Numero intero	`12` Da a `24`	Nessun valore predefinito
`MaxPasswordAge`	Numero di giorni prima della scadenza della password	Numero intero	`1` Da a `90`	Nessun valore predefinito

Questo controllo verifica se la politica relativa alle password degli account per IAM gli utenti utilizza configurazioni complesse. Il controllo ha esito negativo se la politica relativa alle password non utilizza configurazioni complesse. A meno che non si forniscano valori di parametro personalizzati, Security Hub utilizza i valori predefiniti menzionati nella tabella precedente. I MaxPasswordAge parametri PasswordReusePrevention and non hanno un valore predefinito, quindi se si escludono questi parametri, Security Hub ignora il numero di rotazioni della password e l'età della password durante la valutazione di questo controllo.

Per accedere a AWS Management Console, IAM gli utenti necessitano di password. Come best practice, Security Hub consiglia vivamente di utilizzare la federazione anziché creare IAM utenti. La federazione consente agli utenti di utilizzare le credenziali aziendali esistenti per accedere a. AWS Management Console Utilizza AWS IAM Identity Center (IAMIdentity Center) per creare o federare l'utente e quindi assumere un IAM ruolo in un account.

Per ulteriori informazioni sui provider di identità e la federazione, consulta Fornitori di identità e federazione nella Guida per l'IAMutente. Per ulteriori informazioni su IAM Identity Center, consulta la Guida AWS IAM Identity Center per l'utente.

Se è necessario utilizzare IAM utenti, Security Hub consiglia di imporre la creazione di password utente sicure. È possibile impostare una politica in materia di password Account AWS per specificare i requisiti di complessità e i periodi di rotazione obbligatori per le password. Quando si crea o si modifica una politica in materia di password, la maggior parte delle impostazioni relative alle password viene applicata alla successiva modifica delle password da parte degli utenti. Alcune impostazioni vengono applicate immediatamente.

Correzione

Per aggiornare la politica in materia di password, consulta Impostazione di una politica di password dell'account per IAM gli utenti nella Guida per l'IAMutente.

[IAM.8] Le credenziali IAM utente non utilizzate devono essere rimosse

Requisiti correlati: PCI DSS v3.2.1/8.1.4, PCI DSS v4.0.1/8.2.6, CIS AWS Foundations Benchmark v1.2.0/1.3, (1), (3), (15), (7), NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6

Categoria: Protezione > Gestione degli accessi sicuri

Gravità: media

Tipo di risorsa: AWS::IAM::User

Regola AWS Config : iam-user-unused-credentials-check

Tipo di pianificazione: periodica

Parametri:

maxCredentialUsageAge: 90 (non personalizzabile)

Questo controllo verifica se IAM gli utenti dispongono di password o chiavi di accesso attive che non sono state utilizzate per 90 giorni.

IAMgli utenti possono accedere alle AWS risorse utilizzando diversi tipi di credenziali, come password o chiavi di accesso.

Security Hub consiglia di rimuovere o disattivare tutte le credenziali che non sono state utilizzate per 90 giorni o più. La disabilitazione o la rimozione di credenziali non necessarie riduce la finestra di opportunità per le credenziali associate a un account compromesso o abbandonato da utilizzare.

Nota

Correzione

Quando si visualizzano le informazioni sull'utente nella IAM console, sono presenti le colonne relative all'età della chiave di accesso, all'età della password e all'ultima attività. Se il valore in una di queste colonne è maggiore di 90 giorni, rendi inattive le credenziali per tali utenti.

Puoi anche utilizzare i report sulle credenziali per monitorare gli utenti e identificare quelli che non svolgono alcuna attività per 90 o più giorni. Puoi scaricare i report sulle credenziali in .csv formato dalla IAM console.

Dopo aver identificato gli account inattivi o le credenziali non utilizzate, disattivali. Per istruzioni, consulta Creazione, modifica o eliminazione di una password IAM utente (console) nella Guida per l'utente. IAM

[IAM.9] MFA deve essere abilitato per l'utente root

Requisiti correlati: PCI DSS v3.2.1/8.3.1, PCI DSS v4.0.1/8.4.2, Foundations Benchmark v3.0.0/1.5, CIS AWS Foundations Benchmark v1.4.0/1.5, CIS AWS Foundations Benchmark v1.2.0/1.13, (1), (1), CIS AWS (2), (6), (8) NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2

Categoria: Protezione > Gestione degli accessi sicuri

Severità: critica

Tipo di risorsa: AWS::::Account

Regola AWS Config : root-account-mfa-enabled

Tipo di pianificazione: periodica

Parametri: nessuno

L'utente root ha accesso completo a tutti i servizi e le risorse di un Account AWS file. MFAaggiunge un ulteriore livello di protezione oltre a nome utente e password. Se MFA abilitato, quando un utente accede a AWS Management Console, gli vengono richiesti il nome utente e la password e un codice di autenticazione dal AWS MFA dispositivo.

Quando usi virtual MFA per l'utente root, CIS consiglia che il dispositivo utilizzato non sia un dispositivo personale. Al contrario, utilizza un dispositivo mobile dedicato (tablet o telefono) che mantieni carico e protetto indipendentemente da qualsiasi dispositivo personale singolo. In questo modo si riducono i rischi di perdere l'accesso al dispositivo a MFA causa della perdita del dispositivo, della permuta del dispositivo o se la persona proprietaria del dispositivo non lavora più presso l'azienda.

Correzione

Per abilitarlo MFA per l'utente root, consulta Attivazione MFA sull'utente Account AWS root nella Guida di riferimento per la gestione degli AWS account.

[IAM.10] Le politiche relative alle password per IAM gli utenti dovrebbero avere durate elevate AWS Config

Requisiti correlati: PCI DSS v3.2.1/8.1.4, v3.2.1/8.2.3, v3.2.1/8.2.4, v3.2.1/8.2.5, PCI DSS v4.0.1/8.3.6 PCI DSS PCI DSS PCI DSS

Categoria: Protezione > Gestione degli accessi sicuri

Gravità: media

Tipo di risorsa: AWS::::Account

Regola AWS Config : iam-password-policy

Tipo di pianificazione: periodica

Parametri: nessuno

Questo controllo verifica se la politica relativa alle password degli account per IAM gli utenti utilizza le seguenti PCI DSS configurazioni minime.

RequireUppercaseCharacters— Richiede almeno un carattere maiuscolo nella password. L'impostazione predefinita è true.
RequireLowercaseCharacters— Richiede almeno un carattere minuscolo nella password. L'impostazione predefinita è true.
RequireNumbers— Richiede almeno un numero nella password. L'impostazione predefinita è true.
MinimumPasswordLength— Lunghezza minima della password. (Impostazione predefinita = 7 o più)
PasswordReusePrevention— Numero di password prima di consentirne il riutilizzo. (Impostazione predefinita = 4)
MaxPasswordAge— Numero di giorni prima della scadenza della password. (Impostazione predefinita = 90)

Correzione

Per aggiornare la politica in materia di password per utilizzare la configurazione consigliata, consulta Impostazione di una politica di password dell'account per IAM gli utenti nella Guida per l'IAMutente.

[IAM.11] Assicurati che IAM la politica delle password richieda almeno una lettera maiuscola

Requisiti correlati: CIS AWS Foundations Benchmark v1.2.0/1.5, v4.0.1/8.3.6 PCI DSS

Categoria: Protezione > Gestione degli accessi sicuri

Gravità: media

Tipo di risorsa: AWS::::Account

Regola AWS Config : iam-password-policy

Tipo di pianificazione: periodica

Parametri: nessuno

Le policy sulle password applicano, in parte, requisiti di conformità delle password. Utilizza policy sulle password IAM per assicurare che le password utilizzino set di caratteri diversi.

CISconsiglia che la politica in materia di password richieda almeno una lettera maiuscola. L'impostazione di una policy di complessità delle password aumenta la resilienza dell'account a fronte di tentativi di accesso di forza bruta.

Correzione

Per modificare la politica in materia di password, consulta Impostazione di una politica di password dell'account per IAM gli utenti nella Guida per l'IAMutente. Per la sicurezza della password, seleziona Richiedi almeno una lettera maiuscola dell'alfabeto latino (A—Z).

[IAM.12] Assicurati che la politica delle IAM password richieda almeno una lettera minuscola

Requisiti correlati: CIS AWS Foundations Benchmark v1.2.0/1.6, v4.0.1/8.3.6 PCI DSS

Categoria: Protezione > Gestione degli accessi sicuri

Gravità: media

Tipo di risorsa: AWS::::Account

Regola AWS Config : iam-password-policy

Tipo di pianificazione: periodica

Parametri: nessuno

Le policy sulle password applicano, in parte, requisiti di conformità delle password. Utilizza le politiche relative alle IAM password per garantire che le password utilizzino set di caratteri diversi. CISconsiglia che la politica relativa alle password richieda almeno una lettera minuscola. L'impostazione di una policy di complessità delle password aumenta la resilienza dell'account a fronte di tentativi di accesso di forza bruta.

Correzione

Per modificare la politica relativa alle password, consulta Impostazione di una politica di password dell'account per IAM gli utenti nella Guida per l'IAMutente. Per la sicurezza della password, seleziona Richiedi almeno una lettera minuscola dell'alfabeto latino (A—Z).

[IAM.13] Assicurati che la politica delle IAM password richieda almeno un simbolo

Requisiti correlati: CIS AWS Foundations Benchmark v1.2.0/1.7, v4.0.1/8.3.6 PCI DSS

Categoria: Protezione > Gestione degli accessi sicuri

Gravità: media

Tipo di risorsa: AWS::::Account

Regola AWS Config : iam-password-policy

Tipo di pianificazione: periodica

Parametri: nessuno

Le policy sulle password applicano, in parte, requisiti di conformità delle password. Utilizza policy sulle password IAM per assicurare che le password utilizzino set di caratteri diversi.

CISconsiglia che la politica in materia di password richieda almeno un simbolo. L'impostazione di una policy di complessità delle password aumenta la resilienza dell'account a fronte di tentativi di accesso di forza bruta.

Correzione

Per modificare la politica relativa alle password, consulta Impostazione di una politica di password dell'account per IAM gli utenti nella Guida per l'IAMutente. Per la sicurezza della password, seleziona Richiedi almeno un carattere non alfanumerico.

[IAM.14] Assicurati che IAM la politica delle password richieda almeno un numero

Requisiti correlati: CIS AWS Foundations Benchmark v1.2.0/1.8, v4.0.1/8.3.6 PCI DSS

Categoria: Protezione > Gestione degli accessi sicuri

Gravità: media

Tipo di risorsa: AWS::::Account

Regola AWS Config : iam-password-policy

Tipo di pianificazione: periodica

Parametri: nessuno

Le policy sulle password applicano, in parte, requisiti di conformità delle password. Utilizza policy sulle password IAM per assicurare che le password utilizzino set di caratteri diversi.

CISconsiglia che la politica in materia di password richieda almeno un numero. L'impostazione di una policy di complessità delle password aumenta la resilienza dell'account a fronte di tentativi di accesso di forza bruta.

Correzione

[IAM.15] Assicurati che IAM la politica sulle password richieda una lunghezza minima della password pari o superiore a 14

Requisiti correlati: CIS AWS Foundations Benchmark v3.0.0/1.8, Foundations Benchmark v1.4.0/1.8, CIS AWS Foundations Benchmark v1.2.0/1.9 CIS AWS

Categoria: Protezione > Gestione degli accessi sicuri

Gravità: media

Tipo di risorsa: AWS::::Account

Regola AWS Config : iam-password-policy

Tipo di pianificazione: periodica

Parametri: nessuno

Le policy sulle password applicano, in parte, requisiti di conformità delle password. Usa policy sulle password IAM per assicurare che le password abbiano almeno una lunghezza specificata.

CISraccomanda che la politica in materia di password richieda una lunghezza minima della password di 14 caratteri. L'impostazione di una policy di complessità delle password aumenta la resilienza dell'account a fronte di tentativi di accesso di forza bruta.

Correzione

Per modificare la politica relativa alle password, consulta Impostazione di una politica di password dell'account per IAM gli utenti nella Guida per l'IAMutente. Per la lunghezza minima della password, inserisci 14 o un numero maggiore.

[IAM.16] Assicurati che IAM la politica delle password impedisca il riutilizzo della password

Requisiti correlati: CIS AWS Foundations Benchmark v3.0.0/1.9, Foundations Benchmark v1.4.0/1.9, CIS AWS Foundations Benchmark v1.2.0/1.10, v4.0.1/8.3.7 CIS AWS PCI DSS

Categoria: Protezione > Gestione degli accessi sicuri

Gravità: bassa

Tipo di risorsa: AWS::::Account

Regola AWS Config : iam-password-policy

Tipo di pianificazione: periodica

Parametri: nessuno

Questo controllo verifica se il numero di password da ricordare è impostato su 24. Il controllo ha esito negativo se il valore non è 24.

Le policy sulle password IAM possono impedire il riutilizzo di una determinata password da parte dello stesso utente.

CISraccomanda che la politica in materia di password impedisca il riutilizzo delle password. Impedire il riutilizzo delle password consente di incrementare la resilienza dell'account rispetto a tentativi di accesso di forza bruta.

Correzione

Per modificare la politica relativa alle password, consulta Impostazione di una politica di password dell'account per IAM gli utenti nella Guida per l'IAMutente. Per Impedire il riutilizzo della password, inserisci24.

[IAM.17] Assicurati che IAM la politica sulle password faccia scadere le password entro 90 giorni o meno

Requisiti correlati: CIS AWS Foundations Benchmark v1.2.0/1.11, v4.0.1/8.3.9 PCI DSS

Categoria: Protezione > Gestione degli accessi sicuri

Gravità: bassa

Tipo di risorsa: AWS::::Account

Regola AWS Config : iam-password-policy

Tipo di pianificazione: periodica

Parametri: nessuno

Le policy sulle password IAM possono richiedere la rotazione delle password o che scadano dopo un determinato numero di giorni.

CISconsiglia che la politica in materia di password faccia scadere le password dopo 90 giorni o meno. La riduzione della durata della password aumenta la resilienza dell'account contro tentativi di accesso di forza bruta. Richiedere le modifiche regolari delle password è utile nelle seguenti situazioni:

Le password possono essere rubate o compromesse senza saperlo. Questo può accadere tramite compromissione del sistema, vulnerabilità del software o minacce interne.
Alcuni filtri Web aziendali e governativi o server proxy sono in grado di intercettare e registrare il traffico anche se è criptato.
Molte persone utilizzano la stessa password per molti sistemi diversi come lavoro, e-mail e personale.
Workstation dell'utente finale compromesse potrebbero includere un keystroke logger.

Correzione

Per modificare la politica relativa alle password, consulta Impostazione di una politica di password dell'account per IAM gli utenti nella Guida per l'IAMutente. Per attivare la scadenza della password, inserisci 90 o un numero inferiore.

[IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con AWS Support

Requisiti correlati: CIS AWS Foundations Benchmark v3.0.0/1.17, Foundations Benchmark v1.4.0/1.17, CIS AWS Foundations Benchmark v1.2.0/1.20, v4.0.1/12.10.3 CIS AWS PCI DSS

Categoria: Protezione > Gestione degli accessi sicuri

Gravità: bassa

Tipo di risorsa: AWS::::Account

Regola AWS Config : iam-policy-in-use

Tipo di pianificazione: periodica

Parametri:

policyARN: arn:partition:iam::aws:policy/AWSSupportAccess (non personalizzabile)
policyUsageType: ANY (non personalizzabile)

AWS fornisce un centro di supporto che può essere utilizzato per la notifica e la risposta agli incidenti, nonché per il supporto tecnico e il servizio clienti.

Crea un ruolo IAM per consentire agli utenti autorizzati di gestire gli eventi imprevisti con AWS Support. Implementando il privilegio minimo per il controllo degli accessi, un IAM ruolo richiederà una IAM politica appropriata per consentire l'accesso al centro di supporto al fine di gestire gli incidenti con. AWS Support

Nota

Correzione

Per risolvere questo problema, crea un ruolo che consenta agli utenti autorizzati di gestire gli AWS Support incidenti.

Per creare il ruolo da utilizzare per l'accesso AWS Support

Apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.
Nel riquadro di navigazione IAM selezionare Roles (Ruoli), quindi scegliere Create role (Crea ruolo).
Per Tipo di ruolo, scegli Altro Account AWS.
Per ID account, inserisci l' Account AWS ID Account AWS a cui desideri concedere l'accesso alle tue risorse.

Se gli utenti o i gruppi che assumeranno questo ruolo si trovano nello stesso account, immettere il numero di account locale.

Nota
L'amministratore dell'account specificato può concedere l'autorizzazione di assumere questo ruolo a qualsiasi utente in tale account. Per eseguire questa operazione, l'amministratore collega una policy all'utente o al gruppo che garantisce l'autorizzazione per l'operazione sts:AssumeRole. In tale politica, la risorsa deve essere il ruoloARN.
Scegli Successivo: autorizzazioni.
Cercare la policy gestita AWSSupportAccess.
Selezionare la casella di controllo per la policy gestita AWSSupportAccess.
Scegli Successivo: Tag.
(Facoltativo) Per aggiungere metadati al ruolo, allegate i tag come coppie chiave-valore.

Per ulteriori informazioni sull'utilizzo dei tag inIAM, consulta Etichettare IAM utenti e ruoli nella Guida per l'utente. IAM
Scegli Prossimo: Rivedi.
In Nome ruolo, immetti un nome per il ruolo.

I nomi dei ruoli devono essere univoci all'interno del tuo Account AWS. Non rispettano la distinzione tra maiuscole e minuscole.
(Facoltativo) In Descrizione ruolo, immettere una descrizione per il nuovo ruolo.
Verificare il ruolo e scegliere Create role (Crea ruolo).

Mostra più

Mostra meno

[IAM.19] MFA deve essere abilitato per tutti gli utenti IAM

Requisiti correlati: PCI DSS v3.2.1/8.3.1, PCI DSS v4.0.1/8.4.2, (1), NIST.800-53.r5 AC-2 (15), (1), NIST.800-53.r5 AC-3 (2), NIST.800-53.r5 IA-2 (6), NIST.800-53.r5 IA-2 (8) NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2

Categoria: Protezione > Gestione degli accessi sicuri

Gravità: media

Tipo di risorsa: AWS::IAM::User

Regola AWS Config : iam-user-mfa-enabled

Tipo di pianificazione: periodica

Parametri: nessuno

Questo controllo verifica se IAM gli utenti hanno abilitato l'autenticazione a più fattori (MFA).

Nota

Correzione

Per aggiungere contenuti MFA per IAM gli utenti, consulta la sezione Abilitazione MFA dei dispositivi per gli utenti AWS nella Guida per l'IAMutente.

[IAM.20] Evita l'uso dell'utente root

Importante

Security Hub ha ritirato questo controllo nell'aprile 2024. Per ulteriori informazioni, consulta Registro delle modifiche per i controlli del Security Hub.

Requisiti correlati: CIS AWS Foundations Benchmark v1.2.0/1.1

Categoria: Protezione > Gestione degli accessi sicuri

Gravità: bassa

Tipo di risorsa: AWS::IAM::User

AWS Config regola: use-of-root-account-test (regola Security Hub personalizzata)

Tipo di pianificazione: periodica

Parametri: nessuno

Questo controllo verifica se un Account AWS ha restrizioni sull'utilizzo dell'utente root. Il controllo valuta le seguenti risorse:

Argomenti di Amazon Simple Notification Service (AmazonSNS)
AWS CloudTrail sentieri
Filtri metrici associati ai sentieri CloudTrail
CloudWatch Allarmi Amazon basati sui filtri

Questo controllo determina se FAILED una o più delle seguenti affermazioni sono vere:

Non esistono CloudTrail percorsi nell'account.
Un CloudTrail percorso è abilitato, ma non configurato con almeno un percorso multiregionale che includa eventi di gestione di lettura e scrittura.
Un CloudTrail trail è abilitato, ma non è associato a un gruppo di CloudWatch log Logs.
Il filtro metrico esatto prescritto dal Center for Internet Security (CIS) non viene utilizzato. Il filtro metrico prescritto è. '{$.userIdentity.type="Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType !="AwsServiceEvent"}'
Nell' CloudWatch account non sono presenti allarmi basati sul filtro metrico.
CloudWatch gli allarmi configurati per inviare notifiche all'SNSargomento associato non si attivano in base alla condizione di allarme.
L'SNSargomento non è conforme ai vincoli per l'invio di un messaggio a un argomento. SNS
L'SNSargomento non ha almeno un sottoscrittore.

Questo controllo determina NO_DATA se una o più delle seguenti affermazioni sono vere:

Un percorso multiregionale ha sede in una regione diversa. Security Hub può generare risultati solo nella regione in cui si trova il percorso.
Un percorso multiregionale appartiene a un account diverso. Security Hub può generare risultati solo per l'account proprietario del percorso.

Questo controllo determina lo stato di verifica WARNING se una o più delle seguenti affermazioni sono vere:

L'account corrente non è proprietario dell'SNSargomento a cui si fa riferimento nell' CloudWatch avviso.
L'account corrente non ha accesso all'SNSargomento quando richiama il. ListSubscriptionsByTopic SNS API

Nota

Ti consigliamo di utilizzare gli itinerari organizzativi per registrare gli eventi di molti account di un'organizzazione. Gli itinerari organizzativi sono percorsi multiregionali per impostazione predefinita e possono essere gestiti solo dall'account di AWS Organizations gestione o dall'account amministratore CloudTrail delegato. L'utilizzo di un percorso organizzativo comporta lo stato di controllo NO_ DATA per i controlli valutati negli account dei membri dell'organizzazione. Negli account dei membri, Security Hub genera risultati solo per le risorse di proprietà dei membri. I risultati relativi agli itinerari organizzativi vengono generati nell'account del proprietario della risorsa. Puoi visualizzare questi risultati nel tuo account amministratore delegato di Security Hub utilizzando l'aggregazione tra regioni.

Come best practice, utilizzare le credenziali dell'utente root solo quando necessario per eseguire attività di gestione degli account e dei servizi. Applica IAM le politiche direttamente ai gruppi e ai ruoli ma non agli utenti. Per istruzioni sulla configurazione di un amministratore per l'uso quotidiano, consulta Creazione del primo utente e gruppo IAM amministratore nella Guida per l'IAMutente.

Correzione

I passaggi per risolvere questo problema includono la configurazione di un SNS argomento Amazon, un CloudTrail percorso, un filtro metrico e un allarme per il filtro metrico.

Per creare un SNS argomento Amazon

Apri la SNS console Amazon su https://console.aws.amazon.com/sns/v3/home.
Crea un SNS argomento Amazon che riceva tutti gli CIS allarmi.

Creare almeno un sottoscrittore all'argomento. Per ulteriori informazioni, consulta la sezione Guida introduttiva ad Amazon SNS nella Guida per gli sviluppatori di Amazon Simple Notification Service.

Successivamente, configura un programma attivo CloudTrail che si applichi a tutte le regioni. A questo scopo, seguire le fasi di correzione in [CloudTrail.1] CloudTrail deve essere abilitato e configurato con almeno un percorso multiregionale che includa eventi di gestione di lettura e scrittura.

Prendi nota del nome del gruppo di log CloudWatch Logs che associ al CloudTrail percorso. Crei il filtro metrico per quel gruppo di log.

Infine, crea il filtro metrico e l'allarme.

Per creare un filtro parametri e allarme

Apri la CloudWatch console all'indirizzo https://console.aws.amazon.com/cloudwatch/.
Nel pannello di navigazione, selezionare Log groups (Gruppi di log).
Seleziona la casella di controllo per il gruppo di log CloudWatch Logs associato al CloudTrail percorso che hai creato.
Da Azioni, scegli Crea filtro metrico.
In Definisci modello, procedi come segue:
1. Copiare il seguente modello e incollarlo nel campo Filter Pattern (Modello di filtro).
```
{$.userIdentity.type="Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType !="AwsServiceEvent"}
```
2. Scegli Next (Successivo).
In Assegna metrica, effettuate le seguenti operazioni:
1. In Nome filtro, inserisci un nome per il filtro metrico.
2. Per Metric Namespace, inserisci. LogMetrics
  
  Se usi lo stesso namespace per tutti i filtri delle metriche di CIS log, tutte le metriche di Benchmark vengono raggruppate insieme. CIS
3. Per Metric Name, inserisci un nome per la metrica. Ricorda il nome della metrica. Dovrai selezionare la metrica quando crei l'allarme.
4. In Metric value (Valore parametro), inserisci 1.
5. Scegli Next (Successivo).
In Rivedi e crea, verifica le informazioni che hai fornito per il nuovo filtro metrico. Quindi, scegli Crea filtro metrico.
Nel riquadro di navigazione, scegli Gruppi di log, quindi scegli il filtro che hai creato in Filtri metrici.
Seleziona la casella di controllo per il filtro. Scegli Crea allarme.
In Specificare metriche e condizioni, procedi come segue:
1. In Condizioni, per Soglia, scegli Statico.
2. Per Definire la condizione di allarme, scegli Maggiore/Uguale.
3. Per Definire il valore di soglia, immettere. 1
4. Scegli Next (Successivo).
In Configura azioni, procedi come segue:
1. In Attivazione dello stato di allarme, scegli In allarme.
2. In Seleziona un SNS argomento, scegli Seleziona un SNS argomento esistente.
3. In Invia una notifica a, inserisci il nome dell'SNSargomento creato nella procedura precedente.
4. Scegli Next (Successivo).
In Aggiungi nome e descrizione, inserisci un nome e una descrizione per l'avviso, ad esempioCIS-1.1-RootAccountUsage. Quindi scegli Successivo.
In Anteprima e crea, rivedi la configurazione dell'allarme. Quindi scegli Crea allarme.

Mostra più

Mostra meno

[IAM.21] le politiche gestite dai IAM clienti che create non dovrebbero consentire azioni jolly per i servizi

Requisiti correlati: NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7),, NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 (10), NIST.800-53.r5 AC-6 (2), NIST.800-53.r5 AC-6 (3)

Categoria: Detect > Gestione sicura degli accessi

Gravità: bassa

Tipo di risorsa: AWS::IAM::Policy

Regola AWS Config : iam-policy-no-statements-with-full-access

Tipo di pianificazione: modifica attivata

Parametri:

excludePermissionBoundaryPolicy: True (non personalizzabile)

Questo controllo verifica se le politiche IAM basate sull'identità create dispongono di istruzioni Allow che utilizzano il carattere jolly * per concedere le autorizzazioni per tutte le azioni su qualsiasi servizio. Il controllo ha esito negativo se una dichiarazione di policy include. "Effect": "Allow" "Action": "Service:*"

Ad esempio, la seguente dichiarazione in una politica comporta un errore di ricerca.


"Statement": [
{
  "Sid": "EC2-Wildcard",
  "Effect": "Allow",
  "Action": "ec2:*",
  "Resource": "*"
}

Il controllo ha esito negativo anche se si utilizza "Effect": "Allow" con"NotAction": "service:*". In tal caso, l'NotActionelemento fornisce l'accesso a tutte le azioni di un Servizio AWS, ad eccezione delle azioni specificate inNotAction.

Questo controllo si applica solo alle IAM politiche gestite dal cliente. Non si applica alle IAM politiche gestite da AWS.

Quando si assegnano le autorizzazioni a Servizi AWS, è importante definire l'ambito delle IAM azioni consentite nelle politiche. IAM È necessario limitare IAM le azioni solo a quelle necessarie. Questo ti aiuta a fornire le autorizzazioni con privilegi minimi. Politiche eccessivamente permissive potrebbero portare a un aumento dei privilegi se le politiche sono associate a un IAM principio che potrebbe non richiedere l'autorizzazione.

In alcuni casi, potresti voler consentire IAM azioni con un prefisso simile, ad esempio e. DescribeFlowLogs DescribeAvailabilityZones In questi casi autorizzati, è possibile aggiungere un carattere jolly con suffisso al prefisso comune. Ad esempio ec2:Describe*.

Questo controllo viene superato se si utilizza un'IAMazione con prefisso e un carattere jolly con suffisso. Ad esempio, la seguente dichiarazione in una politica restituisce un risultato positivo.


"Statement": [
{
  "Sid": "EC2-Wildcard",
  "Effect": "Allow",
  "Action": "ec2:Describe*",
  "Resource": "*"
}

Quando si raggruppano IAM le azioni correlate in questo modo, è anche possibile evitare di superare i limiti di dimensione della IAM politica.

Nota

Correzione

Per risolvere questo problema, aggiorna le IAM politiche in modo che non consentano i privilegi amministrativi «*» completi. Per informazioni dettagliate su come modificare una IAM politica, consulta Modifica delle IAM politiche nella Guida per l'IAMutente.

[IAM.22] le credenziali IAM utente non utilizzate per 45 giorni devono essere rimosse

Requisiti correlati: CIS AWS Foundations Benchmark v3.0.0/1.12, Foundations Benchmark v1.4.0/1.12 CIS AWS

Categoria: Protezione > Gestione degli accessi sicuri

Gravità: media

Tipo di risorsa: AWS::IAM::User

AWS Config regola: iam-user-unused-credentials-check

Tipo di pianificazione: periodica

Parametri: nessuno

Questo controllo verifica se IAM gli utenti dispongono di password o chiavi di accesso attive che non vengono utilizzate da 45 giorni o più. A tale scopo, controlla se il maxCredentialUsageAge parametro della AWS Config regola è uguale o superiore a 45.

Gli utenti possono accedere alle AWS risorse utilizzando diversi tipi di credenziali, come password o chiavi di accesso.

CISconsiglia di rimuovere o disattivare tutte le credenziali che non sono state utilizzate per 45 giorni o più. La disabilitazione o la rimozione di credenziali non necessarie riduce la finestra di opportunità per le credenziali associate a un account compromesso o abbandonato da utilizzare.

La AWS Config regola per questo controllo utilizza le GenerateCredentialReportAPIoperazioni GetCredentialReportand, che vengono aggiornate solo ogni quattro ore. Le modifiche apportate agli utenti IAM possono richiedere fino a quattro ore per essere visibili in questo controllo.

Nota

AWS Config deve essere abilitato in tutte le regioni in cui si utilizza Security Hub. Tuttavia, è possibile abilitare la registrazione delle risorse globali in una singola regione. Se si registrano solo risorse globali in una singola area, è possibile disabilitare questo controllo in tutte le aree, ad eccezione dell'area in cui si registrano le risorse globali.

Correzione

Quando si visualizzano le informazioni sull'utente nella IAM console, sono presenti le colonne relative all'età della chiave di accesso, all'età della password e all'ultima attività. Se il valore in una di queste colonne è superiore a 45 giorni, rendi inattive le credenziali per tali utenti.

Puoi anche utilizzare i report sulle credenziali per monitorare gli utenti e identificare quelli che non svolgono alcuna attività per 45 o più giorni. Puoi scaricare i report sulle credenziali in .csv formato dalla IAM console.

[IAM.23] Gli analizzatori IAM Access Analyzer devono essere etichettati

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::AccessAnalyzer::Analyzer

AWS Config regola: tagged-accessanalyzer-analyzer (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro	Descrizione	Tipo	Valori personalizzati consentiti	Valore predefinito di Security Hub
`requiredTagKeys`	Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. Le chiavi dei tag prevedono una distinzione tra lettere maiuscole e minuscole.	StringList	Elenco di tag che soddisfano i requisiti AWS	`No default value`

Questo controllo verifica se un analizzatore gestito da AWS Identity and Access Management Access Analyzer (IAMAccess Analyzer) dispone di tag con le chiavi specifiche definite nel parametro. requiredTagKeys Il controllo fallisce se l'analizzatore non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro. requiredTagKeys Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'analizzatore non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza il tagging, è possibile implementare il controllo di accesso basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. È possibile allegare tag alle IAM entità (utenti o ruoli) e alle risorse. AWS È possibile creare una singola ABAC politica o un insieme separato di politiche per IAM i responsabili. È possibile progettare queste ABAC politiche per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa ABAC serve AWS? nella Guida IAM per l'utente.

Nota

Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta Taggare le AWS risorse in. Riferimenti generali di AWS

Correzione

Per aggiungere tag a un analizzatore, vedi TagResourcein AWS IAMAccess Analyzer API Reference.

[IAM.24] i IAM ruoli devono essere etichettati

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::IAM::Role

AWS Config regola: tagged-iam-role (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro	Descrizione	Tipo	Valori personalizzati consentiti	Valore predefinito di Security Hub
`requiredTagKeys`	Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. Le chiavi dei tag prevedono una distinzione tra lettere maiuscole e minuscole.	StringList	Elenco di tag che soddisfano i requisiti AWS	`No default value`

Questo controllo verifica se un ruolo AWS Identity and Access Management (IAM) ha tag con le chiavi specifiche definite nel parametrorequiredTagKeys. Il controllo fallisce se il ruolo non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il ruolo non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Nota

Correzione

Per aggiungere tag a un IAM ruolo, consulta Taggare IAM le risorse nella Guida per l'IAMutente.

[IAM.25] IAM gli utenti devono essere etichettati

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::IAM::User

AWS Config regola: tagged-iam-user (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro	Descrizione	Tipo	Valori personalizzati consentiti	Valore predefinito di Security Hub
`requiredTagKeys`	Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. Le chiavi dei tag prevedono una distinzione tra lettere maiuscole e minuscole.	StringList	Elenco di tag che soddisfano i requisiti AWS	`No default value`

Questo controllo verifica se un utente AWS Identity and Access Management (IAM) dispone di tag con le chiavi specifiche definite nel parametrorequiredTagKeys. Il controllo fallisce se l'utente non dispone di alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se l'utente non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Nota

Correzione

Per aggiungere tag a un IAM utente, consulta Taggare IAM le risorse nella Guida per l'IAMutente.

[IAM.26] ScadutiSSL/TLSi certificati gestiti in devono essere rimossi IAM

Requisiti correlati: CIS AWS Foundations Benchmark v3.0.0/1.19

Categoria: Identificazione > Conformità

Gravità: media

Tipo di risorsa: AWS::IAM::ServerCertificate

AWS Config regola: iam-server-certificate-expiration-check

Tipo di pianificazione: periodica

Parametri: nessuno

Questo controllo controlla se un certificato SSL/TLS server certificate that is managed in IAM has expired. The control fails if the expired SSL/TLS del server attivo non viene rimosso.

Per abilitare HTTPS le connessioni al sito Web o all'applicazione in AWS, è necessario un certificatoSSL/TLSserver. È possibile utilizzare IAM o AWS Certificate Manager (ACM) per archiviare e distribuire i certificati del server. IAMUtilizzalo come gestore di certificati solo quando devi supportare HTTPS connessioni in un ambiente Regione AWS che non è supportato daACM. IAMcrittografa in modo sicuro le chiavi private e archivia la versione crittografata nell'archivio dei IAM SSL certificati. IAMsupporta la distribuzione di certificati server in tutte le regioni, ma è necessario ottenere il certificato da un provider esterno per utilizzarlo con. AWS Non puoi caricare un ACM certificato su. IAM Inoltre, non puoi gestire i tuoi certificati dalla IAM console. La rimozione TLS dei certificatiSSL/scaduti elimina il rischio che un certificato non valido venga distribuito accidentalmente su una risorsa, il che può danneggiare la credibilità dell'applicazione o del sito Web sottostante.

Correzione

Per rimuovere un certificato server daIAM, consulta la sezione Gestione dei certificati del server nella IAM Guida per l'utente. IAM

[IAM.27] IAM alle identità non dovrebbe essere allegata la policy AWSCloudShellFullAccess

Requisiti correlati: CIS AWS Foundations Benchmark v3.0.0/1.22

Categoria: Protezione > Gestione sicura degli accessi > Policy sicure IAM

Gravità: media

Tipo di risorsa:AWS::IAM::Role,AWS::IAM::User, AWS::IAM::Group

AWS Config regola: iam-policy-blacklisted-check

Tipo di pianificazione: modifica attivata

Parametri:

"policyArns«: «arn:aws:iam: :aws:» policy/AWSCloudShellFullAccess,arn:aws-cn:iam::aws:policy/AWSCloudShellFullAccess, arn:aws-us-gov:iam::aws:policy/AWSCloudShellFullAccess

Questo controllo verifica se a un'IAMidentità (utente, ruolo o gruppo) è associata la policy gestita. AWS AWSCloudShellFullAccess Il controllo ha esito negativo se a un'IAMidentità è associata la AWSCloudShellFullAccess politica.

AWS CloudShell fornisce un modo pratico per eseguire CLI comandi Servizi AWS. La policy AWS gestita AWSCloudShellFullAccess fornisce l'accesso completo a CloudShell, che consente la funzionalità di caricamento e download di file tra il sistema locale dell'utente e l' CloudShell ambiente. All'interno dell' CloudShell ambiente, un utente dispone delle autorizzazioni sudo e può accedere a Internet. Di conseguenza, l'associazione di questa politica gestita a un'IAMidentità consente all'utente di installare software per il trasferimento di file e spostare i dati CloudShell da server Internet esterni. Ti consigliamo di seguire il principio del privilegio minimo e di assegnare autorizzazioni più limitate alle tue identità. IAM

Correzione

Per separare la AWSCloudShellFullAccess policy da un'IAMidentità, consulta Aggiungere e rimuovere IAM le autorizzazioni relative all'identità nella Guida per l'utente. IAM

[IAM.28] IAM L'analizzatore di accesso esterno Access Analyzer deve essere abilitato

Requisiti correlati: CIS AWS Foundations Benchmark v3.0.0/1.20

Categoria: Rileva > Servizi di rilevamento > Monitoraggio dell'utilizzo privilegiato

Gravità: alta

Tipo di risorsa: AWS::AccessAnalyzer::Analyzer

AWS Config regola: iam-external-access-analyzer-enabled

Tipo di pianificazione: periodica

Parametri: nessuno

Questo controllo verifica se un Account AWS ha un analizzatore di IAM accesso esterno Access Analyzer abilitato. Il controllo ha esito negativo se l'account non ha un analizzatore di accesso esterno abilitato nell'area attualmente selezionata. Regione AWS

IAMGli analizzatori di accesso esterni Access Analyzer aiutano a identificare le risorse dell'organizzazione e degli account, come i bucket IAM o i ruoli di Amazon Simple Storage Service (Amazon S3), condivisi con un'entità esterna. Questo ti aiuta a evitare l'accesso involontario alle tue risorse e ai tuoi dati. IAM Access Analyzer è regionale e deve essere abilitato in ogni regione. Per identificare le risorse condivise con responsabili esterni, un analizzatore di accessi utilizza un ragionamento basato sulla logica per analizzare le politiche basate sulle risorse nell'ambiente in uso. AWS Quando abiliti un analizzatore di accesso esterno, crei un analizzatore per l'intera organizzazione o l'account.

Correzione

Per abilitare un analizzatore di accesso esterno in una regione specifica, vedere Enabling IAM Access Analyzer nella Guida per l'utente. IAM È necessario abilitare un analizzatore in ogni regione in cui si desidera monitorare l'accesso alle risorse.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

GuardDuty Controlli Amazon

Controlli Amazon Inspector