Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Riferimento ai controlli del Security Hub
Questo riferimento ai controlli fornisce un elenco di AWS Security Hub controlli disponibili con collegamenti a ulteriori informazioni su ciascun controllo. La tabella riassuntiva mostra i controlli in ordine alfabetico in base all'ID del controllo. Qui sono inclusi solo i controlli in uso attivo da Security Hub. I controlli ritirati sono esclusi da questo elenco. La tabella fornisce le seguenti informazioni per ogni controllo:
-
ID del controllo di sicurezza: questo ID si applica a tutti gli standard Servizio AWS e indica la risorsa e a cui si riferisce il controllo. La console Security Hub mostra gli ID del controllo di sicurezza, indipendentemente dal fatto che i risultati del controllo consolidato siano attivati o disattivati nell'account. Tuttavia, i risultati di Security Hub fanno riferimento agli ID di controllo di sicurezza solo se i risultati del controllo consolidato sono attivati nel tuo account. Se i risultati di controllo consolidati sono disattivati nel tuo account, alcuni ID di controllo variano in base allo standard dei risultati di controllo. Per una mappatura degli ID di controllo specifici degli standard agli ID dei controlli di sicurezza, consulta. In che modo il consolidamento influisce sugli ID e sui titoli di controllo
Se desideri configurare le automazioni per i controlli di sicurezza, ti consigliamo di filtrare in base all'ID del controllo anziché al titolo o alla descrizione. Sebbene Security Hub possa occasionalmente aggiornare i titoli o le descrizioni dei controlli, gli ID dei controlli rimangono invariati.
I Control ID possono ignorare i numeri. Si tratta di segnaposti per controlli futuri.
-
Standard applicabili: indica a quali standard si applica un controllo. Seleziona un controllo per visualizzare i requisiti specifici dei framework di conformità di terze parti.
-
Titolo del controllo di sicurezza: questo titolo si applica a tutti gli standard. La console Security Hub mostra i titoli dei controlli di sicurezza, indipendentemente dal fatto che i risultati del controllo consolidato siano attivati o disattivati nel tuo account. Tuttavia, i risultati del Security Hub fanno riferimento ai titoli dei controlli di sicurezza solo se nel tuo account è attivato il controllo consolidato. Se i risultati di controllo consolidati sono disattivati nel tuo account, alcuni titoli di controllo variano in base allo standard dei risultati di controllo. Per una mappatura degli ID di controllo specifici degli standard agli ID dei controlli di sicurezza, consulta. In che modo il consolidamento influisce sugli ID e sui titoli di controllo
-
Severità: la severità di un controllo ne identifica l'importanza dal punto di vista della sicurezza. Per informazioni su come Security Hub determina la gravità del controllo, vedereAssegnazione della gravità ai risultati del controllo.
-
Tipo di pianificazione: indica quando viene valutato il controllo. Per ulteriori informazioni, consulta Pianificazione dell'esecuzione dei controlli di sicurezza.
-
Supporta parametri personalizzati: indica se il controllo supporta valori personalizzati per uno o più parametri. Seleziona un controllo per visualizzare i dettagli dei parametri. Per ulteriori informazioni, consulta Parametri di controllo personalizzati.
Seleziona un controllo per visualizzare ulteriori dettagli. I controlli sono elencati in ordine alfabetico del nome del servizio.
| ID del controllo di sicurezza | Titolo del controllo di sicurezza | Standard applicabili | Gravità | Supporta parametri personalizzati | Tipo di pianificazione |
|---|---|---|---|---|---|
| Account.1 | Le informazioni di contatto relative alla sicurezza devono essere fornite per un Account AWS | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | Periodic (Periodico) | |
| Conto.2 | Account AWS dovrebbe far parte di un'organizzazione AWS Organizations | NIST SP 800-53 Rev. 5 | HIGH (ELEVATO) | |
Periodic (Periodico) |
| ACM.1 | I certificati importati ed emessi da ACM devono essere rinnovati dopo un determinato periodo di tempo | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
Modifica attivata e periodica |
| ACM.2 | I certificati RSA gestiti da ACM devono utilizzare una lunghezza di chiave di almeno 2.048 bit | AWS Best practice di sicurezza di base v1.0.0 | HIGH (ELEVATO) | |
Modifica attivata |
| ACM.3 | I certificati ACM devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Sì | Modifica attivata |
| APIGateway.1 | API Gateway REST e la registrazione dell'esecuzione delle WebSocket API devono essere abilitati | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
Modifica attivata |
| APIGateway.2 | Le fasi dell'API REST di API Gateway devono essere configurate per utilizzare i certificati SSL per l'autenticazione del backend | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
Modifica attivata |
| APIGateway.3 | Le fasi API REST di API Gateway devono avere AWS X-Ray la traccia abilitata | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | BASSO | |
Modifica attivata |
| APIGateway.4 | API Gateway deve essere associato a un ACL Web WAF | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
Modifica attivata |
| APIGateway.5 | I dati della cache dell'API REST di API Gateway devono essere crittografati quando sono inattivi | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| APIGateway.8 | Le rotte API Gateway devono specificare un tipo di autorizzazione | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
Periodic (Periodico) |
| APIGateway.9 | La registrazione degli accessi deve essere configurata per API Gateway V2 Stages | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
Modifica attivata |
| AppSync2. | AWS AppSync dovrebbe avere la registrazione a livello di campo abilitata | AWS Best practice di sicurezza di base v1.0.0 | MEDIO | |
Modifica attivata |
| AppSync4. | AWS AppSync Le API GraphQL devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | Sì | Modifica attivata |
| AppSync5. | AWS AppSync Le API GraphQL non devono essere autenticate con chiavi API | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ELEVATO) | |
Modifica attivata |
| Atena.2 | I cataloghi di dati Athena devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Sì | Modifica attivata |
| Atena.3 | I gruppi di lavoro Athena devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Sì | Modifica attivata |
| AutoScaling1. | I gruppi di Auto Scaling associati a un sistema di bilanciamento del carico devono utilizzare i controlli di integrità ELB | AWS Best practice di sicurezza di base, Service Managed Standard:, PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 Rev. 5 | BASSO | Modifica attivata | |
| AutoScaling2. | Il gruppo Amazon EC2 Auto Scaling dovrebbe coprire più zone di disponibilità | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
Modifica attivata |
| AutoScaling3. | Le configurazioni di avvio del gruppo Auto Scaling devono configurare le istanze EC2 in modo che richiedano Instance Metadata Service Version 2 (IMDSv2) | AWS Buone pratiche di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | HIGH (ELEVATO) | |
Modifica attivata |
| Autoscaling.5 | Le istanze Amazon EC2 avviate utilizzando le configurazioni di avvio del gruppo Auto Scaling non devono avere indirizzi IP pubblici | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | HIGH (ELEVATO) | |
Modifica attivata |
| AutoScaling6. | I gruppi di Auto Scaling devono utilizzare più tipi di istanze in più zone di disponibilità | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
Modifica attivata |
| AutoScaling9. | I gruppi di Auto Scaling di EC2 devono utilizzare i modelli di avvio EC2 | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
Modifica attivata |
| AutoScaling.10 | I gruppi EC2 Auto Scaling devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Sì | Modifica attivata |
| Backup.1 | AWS Backup i punti di ripristino devono essere crittografati quando sono inattivi | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| Backup.2 | AWS Backup i punti di ripristino devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Sì | Modifica attivata |
| Backup.3 | AWS Backup le casseforti devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | Sì | Modifica attivata |
| Backup.4 | AWS Backup i piani di segnalazione devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Sì | Modifica attivata |
| Backup.5 | AWS Backup i piani di backup devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Sì | Modifica attivata |
| CloudFormation2. | CloudFormation le pile devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | Modifica attivata | |
| CloudFront1. | CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ELEVATO) | Modifica attivata | |
| CloudFront3. | CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| CloudFront4. | CloudFront le distribuzioni devono avere il failover di origine configurato | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | BASSO | |
Modifica attivata |
| CloudFront5. | CloudFront le distribuzioni dovrebbero avere la registrazione abilitata | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| CloudFront6. | CloudFront le distribuzioni dovrebbero avere WAF abilitato | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| CloudFront7. | CloudFront le distribuzioni devono utilizzare certificati SSL/TLS personalizzati | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| CloudFront8. | CloudFront le distribuzioni dovrebbero utilizzare SNI per soddisfare le richieste HTTPS | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | BASSO | |
Modifica attivata |
| CloudFront9. | CloudFront le distribuzioni dovrebbero crittografare il traffico verso origini personalizzate | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| CloudFront.10 | CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| CloudFront1.2 | CloudFront le distribuzioni non devono puntare a origini S3 inesistenti | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ELEVATO) | |
Periodic (Periodico) |
| CloudFront1.3 | CloudFront le distribuzioni dovrebbero utilizzare il controllo dell'accesso all'origine | AWS Migliori pratiche di sicurezza di base v1.0.0 | MEDIO | |
Modifica attivata |
| CloudFront1.4 | CloudFront le distribuzioni devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | Sì | Modifica attivata |
| CloudTrail1. | CloudTrail deve essere abilitato e configurato con almeno un percorso multiregionale che includa eventi di gestione di lettura e scrittura | CIS AWS Foundations Benchmark v1.2.0, CIS Foundations Benchmark v1.4.0, AWS AWS Foundational Security Best Practices v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | HIGH (ELEVATO) | |
Periodic (Periodico) |
| CloudTrail2. | CloudTrail dovrebbe avere la crittografia a riposo abilitata | CIS AWS Foundations Benchmark v1.2.0, AWS Foundational Security Best Practices v1.0.0, Service Managed Standard:, PCI DSS v3.2.1, benchmark CIS Foundations v1.4.0 AWS Control Tower, NIST SP 800-53 Rev. 5 AWS | MEDIO | |
Periodic (Periodico) |
| CloudTrail3. | Almeno un CloudTrail percorso deve essere abilitato | PCI DSS v3.2.1 | HIGH (ELEVATO) | Periodic (Periodico) | |
| CloudTrail4. | CloudTrail la convalida dei file di registro deve essere abilitata | CIS AWS Foundations Benchmark v1.2.0, AWS Foundational Security Best Practices v1.0.0, Service Managed Standard:, PCI DSS v3.2.1, CIS Foundations Benchmark v1.4.0 AWS Control Tower, NIST SP 800-53 Rev. 5 AWS | BASSO | |
Periodic (Periodico) |
| CloudTrail5. | CloudTrail i trail devono essere integrati con Amazon CloudWatch Logs | CIS AWS Foundations Benchmark v1.2.0, AWS Foundational Security Best Practices v1.0.0, Service Managed Standard:, PCI DSS v3.2.1, CIS Foundations Benchmark v1.4.0 AWS Control Tower, NIST SP 800-53 Rev. 5 AWS | BASSO | |
Periodic (Periodico) |
| CloudTrail6. | Assicurati che il bucket S3 utilizzato per archiviare i CloudTrail log non sia accessibile al pubblico | Benchmark CIS AWS Foundations v1.2.0, benchmark CIS Foundations v1.4.0 AWS | CRITICO | |
Modifica attivata e periodica |
| CloudTrail7. | Assicurati che la registrazione degli accessi al bucket S3 sia abilitata sul bucket S3 CloudTrail | Benchmark CIS Foundations v1.2.0, benchmark CIS AWS Foundations v1.4.0 AWS | BASSO | |
Periodic (Periodico) |
| CloudTrail9. | CloudTrail i sentieri devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Sì | Modifica attivata |
| CloudWatch1. | Dovrebbero esistere un filtro logmetrico e un allarme per l'utilizzo da parte dell'utente «root» | Benchmark CIS AWS Foundations v1.2.0, PCI DSS v3.2.1, benchmark CIS Foundations v1.4.0 AWS | BASSO | |
Periodic (Periodico) |
| CloudWatch2. | Verifica se esistono un filtro e un allarme per le metriche dei log relativamente alle chiamate API non autorizzate | Benchmark CIS AWS Foundations v1.2.0 | BASSO | |
Periodic (Periodico) |
| CloudWatch3. | Verifica se esistono un filtro e un allarme per le metriche dei log per l'accesso alla Console di gestione senza autenticazione a più fattori (MFA) | Benchmark CIS AWS Foundations v1.2.0 | BASSO | |
Periodic (Periodico) |
| CloudWatch4. | Verifica se esistono un filtro e un allarme per le metriche dei log relativamente alle modifiche apportate alle policy IAM | Benchmark CIS AWS Foundations v1.2.0, benchmark CIS Foundations v1.4.0 AWS | BASSO | |
Periodic (Periodico) |
| CloudWatch5. | Assicurati che esistano un filtro metrico di registro e un allarme per le CloudTrail modifiche alla configurazione | Benchmark CIS AWS Foundations v1.2.0, benchmark CIS Foundations v1.4.0 AWS | BASSO | |
Periodic (Periodico) |
| CloudWatch6. | Assicurati che esistano un filtro metrico di registro e un allarme per gli AWS Management Console errori di autenticazione | Benchmark CIS AWS Foundations v1.2.0, benchmark CIS Foundations v1.4.0 AWS | BASSO | |
Periodic (Periodico) |
| CloudWatch7. | Verifica se esistono un filtro e un allarme per le metriche dei log relativamente alla disabilitazione o all'eliminazione pianificata delle chiavi gestite dal cliente (CMK) create dal cliente | Benchmark CIS AWS Foundations v1.2.0, benchmark CIS Foundations v1.4.0 AWS | BASSO | |
Periodic (Periodico) |
| CloudWatch8. | Verifica se esistono un filtro e un allarme per le metriche dei log relativamente alle modifiche apportate alle policy dei bucket S3 | Benchmark CIS AWS Foundations v1.2.0, benchmark CIS Foundations v1.4.0 AWS | BASSO | |
Periodic (Periodico) |
| CloudWatch9. | Assicurati che esistano un filtro metrico di registro e un allarme per le AWS Config modifiche alla configurazione | Benchmark CIS AWS Foundations v1.2.0, benchmark CIS Foundations v1.4.0 AWS | BASSO | |
Periodic (Periodico) |
| CloudWatch.10 | Verifica se esistono un filtro e un allarme per le metriche dei log relativamente alle modifiche apportate al gruppo di sicurezza | Benchmark CIS AWS Foundations v1.2.0, benchmark CIS Foundations v1.4.0 AWS | BASSO | |
Periodic (Periodico) |
| CloudWatch.11 | Verifica se esistono un filtro e un allarme per le metriche dei log relativamente alle modifiche apportate alle liste di controllo degli accessi alla rete (NACL) | Benchmark CIS AWS Foundations v1.2.0, benchmark CIS Foundations v1.4.0 AWS | BASSO | |
Periodic (Periodico) |
| CloudWatch.12 | Verifica se esistono un filtro e un allarme per le metriche dei log relativamente alle modifiche apportate ai gateway di rete | Benchmark CIS AWS Foundations v1.2.0, benchmark CIS Foundations v1.4.0 AWS | BASSO | |
Periodic (Periodico) |
| CloudWatch.13 | Verifica se esistono un filtro e un allarme per le metriche dei log relativamente alle modifiche apportate alle tabelle di routing | Benchmark CIS AWS Foundations v1.2.0, benchmark CIS Foundations v1.4.0 AWS | BASSO | |
Periodic (Periodico) |
| CloudWatch.14 | Verifica se esistono un filtro e un allarme per le metriche dei log relativamente alle modifiche apportate al VPC | Benchmark CIS AWS Foundations v1.2.0, benchmark CIS Foundations v1.4.0 AWS | BASSO | |
Periodic (Periodico) |
| CloudWatch.15 | CloudWatch gli allarmi dovrebbero avere azioni specificate configurate | NIST SP 800-53 Rev. 5 | HIGH (ELEVATO) | |
Modifica attivata |
| CloudWatch1.6 | CloudWatch i gruppi di log devono essere conservati per un periodo di tempo specificato | NIST SP 800-53 Rev. 5 | MEDIO | |
Periodic (Periodico) |
| CloudWatch.17 | CloudWatch le azioni di allarme devono essere abilitate | NIST SP 800-53 Rev. 5 | HIGH (ELEVATO) | |
Modifica attivata |
| CodeArtifact1. | CodeArtifact i repository devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Modifica attivata | |
| CodeBuild1. | CodeBuild Gli URL del repository di origine di Bitbucket non devono contenere credenziali riservate | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 AWS Control Tower | CRITICO | Modifica attivata | |
| CodeBuild2. | CodeBuild le variabili di ambiente del progetto non devono contenere credenziali di testo non crittografato | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, PCI DSS v3.2.1, NIST SP AWS Control Tower 800-53 Rev. 5 | CRITICO | |
Modifica attivata |
| CodeBuild3. | CodeBuild I log di S3 devono essere crittografati | AWS Buone pratiche di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | BASSO | |
Modifica attivata |
| CodeBuild4. | CodeBuild gli ambienti di progetto dovrebbero avere una configurazione di registrazione | AWS Buone pratiche di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
Modifica attivata |
| Config.1 | AWS Config deve essere abilitato e utilizzare il ruolo collegato al servizio per la registrazione delle risorse | Benchmark CIS AWS Foundations v1.4.0, CIS AWS Foundations Benchmark v1.2.0, migliori pratiche di sicurezza di AWS base, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1 | MEDIO | Periodic (Periodico) | |
| DataFirehose1. | I flussi di distribuzione di Firehose devono essere crittografati quando sono inattivi | AWS Migliori pratiche di sicurezza di base NIST SP 800-53 Rev. 5 | MEDIO | |
Periodic (Periodico) |
| Detective. 1 | I grafici del comportamento dei Detective devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Sì | Modifica attivata |
| DMS.1 | Le istanze di replica del Database Migration Service non devono essere pubbliche | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, PCI DSS v3.2.1, NIST SP 800-53 AWS Control Tower Rev. 5 | CRITICO | |
Periodic (Periodico) |
| DMS.2 | I certificati DMS devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Sì | Modifica attivata |
| DMS.3 | Le sottoscrizioni agli eventi DMS devono essere contrassegnate | AWS Standard di etichettatura delle risorse | BASSO | Sì | Modifica attivata |
| DMS.4 | Le istanze di replica DMS devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | Sì | Modifica attivata |
| DMS.5 | I sottoreti di replica DMS devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Sì | Modifica attivata |
| DMS.6 | L'aggiornamento automatico delle versioni secondarie delle istanze di replica DMS deve essere abilitato | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| DMS.7 | Le attività di replica DMS per il database di destinazione devono avere la registrazione abilitata | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| DMS.8 | Le attività di replica DMS per il database di origine devono avere la registrazione abilitata | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| DMS.9 | Gli endpoint DMS devono utilizzare SSL | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| DMS.10 | Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5 | MEDIO | Modifica attivata | |
| DMS.11 | Gli endpoint DMS per MongoDB devono avere un meccanismo di autenticazione abilitato | AWS Migliori pratiche di sicurezza di base, NIST SP 800-53 Rev. 5 | MEDIO | Modifica attivata | |
| DMS.12 | Gli endpoint DMS per Redis devono avere TLS abilitato | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5 | MEDIO | Modifica attivata | |
| Documento DB.1 | I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, Service Managed Standard: AWS Control Tower | MEDIO | |
Modifica attivata |
| Documento DB.2 | I cluster Amazon DocumentDB devono avere un periodo di conservazione dei backup adeguato | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, Service Managed Standard: AWS Control Tower | MEDIO | |
Modifica attivata |
| Documento DB.3 | Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | CRITICO | |
Modifica attivata |
| Documento DB.4 | I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| Documento DB.5 | I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| DynamoDB.1 | Le tabelle DynamoDB dovrebbero scalare automaticamente la capacità in base alla domanda | AWS Buone pratiche di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
Periodic (Periodico) |
| DynamoDB.2 | Le tabelle DynamoDB devono avere il ripristino abilitato point-in-time | AWS Buone pratiche di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
Modifica attivata |
| DynamoDB.3 | I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Periodic (Periodico) |
| Dynamo DB.4 | Le tabelle DynamoDB devono essere presenti in un piano di backup | NIST SP 800-53 Rev. 5 | MEDIO | |
Periodic (Periodico) |
| Dynamo DB.5 | Le tabelle DynamoDB devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | Sì | Modifica attivata |
| Dynamo DB.6 | Le tabelle DynamoDB devono avere la protezione da eliminazione abilitata | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| Dynamo DB.7 | I cluster DynamoDB Accelerator devono essere crittografati in transito | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5 | MEDIO | Periodic (Periodico) | |
| EC2.1 | Le istantanee EBS non devono essere ripristinabili pubblicamente | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, PCI DSS v3.2.1, NIST SP 800-53 Rev. AWS Control Tower 5 | CRITICO | |
Periodic (Periodico) |
| EC2.2 | I gruppi di sicurezza VPC predefiniti non devono consentire il traffico in entrata o in uscita | CIS AWS Foundations Benchmark v1.2.0, AWS Foundational Security Best Practices v1.0.0, Service Managed Standard:, PCI DSS v3.2.1, benchmark CIS Foundations v1.4.0, NIST SP 800-53 AWS Control Tower Rev. 5 AWS | HIGH (ELEVATO) | |
Modifica attivata |
| EC2.3 | I volumi EBS collegati devono essere crittografati quando sono inattivi | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
Modifica attivata |
| EC2.4 | Le istanze EC2 arrestate devono essere rimosse dopo un periodo di tempo specificato | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
Periodic (Periodico) |
| EC2.6 | La registrazione del flusso VPC deve essere abilitata in tutti i VPC | CIS AWS Foundations Benchmark v1.2.0, AWS Foundational Security Best Practices v1.0.0, Service Managed Standard:, PCI DSS v3.2.1, CIS Foundations Benchmark v1.4.0, NIST SP 800-53 AWS Control Tower Rev. 5 AWS | MEDIO | |
Periodic (Periodico) |
| EC2.7 | La crittografia predefinita di EBS deve essere abilitata | AWS Buone pratiche di sicurezza di base v1.0.0, Service Managed Standard:, CIS AWS Foundations Benchmark v1.4.0 AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
Periodic (Periodico) |
| EC2.8 | Le istanze EC2 devono utilizzare Instance Metadata Service Version 2 (IMDSv2) | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | HIGH (ELEVATO) | |
Modifica attivata |
| EC2.9 | Le istanze EC2 non devono avere un indirizzo IPv4 pubblico | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | HIGH (ELEVATO) | |
Modifica attivata |
| EC2.10 | Amazon EC2 deve essere configurato per utilizzare endpoint VPC creati per il servizio Amazon EC2. | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
Periodic (Periodico) |
| EC2.12 | Le EIP EC2 non utilizzate devono essere rimosse | PCI DSS versione 3.2.1, NIST SP 800-53 Rev. 5 | BASSO | |
Modifica attivata |
| EC2.13 | I gruppi di sicurezza non devono consentire l'accesso da 0.0.0.0/0 o: :/0 alla porta 22 | Benchmark CIS AWS Foundations v1.2.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | HIGH (ELEVATO) | |
Modifica attivata |
| EC 2.14 | I gruppi di sicurezza non dovrebbero consentire l'accesso da 0.0.0.0/0 o: :/0 alla porta 3389 | AWS Benchmark CIS Foundations v1.2.0 | HIGH (ELEVATO) | |
Modifica attivata |
| EC2.15 | Le sottoreti EC2 non devono assegnare automaticamente indirizzi IP pubblici | AWS Buone pratiche di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
Modifica attivata |
| EC2.16 | Gli elenchi di controllo degli accessi alla rete non utilizzati devono essere rimossi | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | BASSO | |
Modifica attivata |
| EC2.17 | Le istanze EC2 non devono utilizzare più ENI | AWS Buone pratiche di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | BASSO | |
Modifica attivata |
| EC2.18 | I gruppi di sicurezza devono consentire il traffico in entrata senza restrizioni solo per le porte autorizzate | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | HIGH (ELEVATO) | |
Modifica attivata |
| EC2.19 | I gruppi di sicurezza non dovrebbero consentire l'accesso illimitato alle porte ad alto rischio | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | CRITICO | |
Modifica attivata |
| EC2.20 | Entrambi i tunnel VPN per una connessione VPN da AWS sito a sito dovrebbero essere attivi | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
Modifica attivata |
| EC2.21 | Gli ACL di rete non devono consentire l'ingresso dalla porta 0.0.0.0/0 alla porta 22 o alla porta 3389 | AWS Buone pratiche di sicurezza di base v1.0.0, Service Managed Standard:, CIS Foundations Benchmark v1.4.0, NIST SP 800-53 Rev. 5 AWS Control Tower AWS | MEDIO | |
Modifica attivata |
| EC2.22 | I gruppi di sicurezza EC2 non utilizzati devono essere rimossi | Standard gestito dai servizi: AWS Control Tower | MEDIO | Periodic (Periodico) | |
| EC2.23 | I gateway di transito EC2 non dovrebbero accettare automaticamente le richieste di allegati VPC | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ELEVATO) | |
Modifica attivata |
| EC2.24 | I tipi di istanze paravirtuali EC2 non devono essere utilizzati | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| EC2.25 | I modelli di lancio EC2 non devono assegnare IP pubblici alle interfacce di rete | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | HIGH (ELEVATO) | |
Modifica attivata |
| EC2,28 | I volumi EBS devono essere inclusi in un piano di backup | NIST SP 800-53 Rev. 5 | BASSO | |
Periodic (Periodico) |
| EC2,33 | Gli allegati del gateway di transito EC2 devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Sì | Modifica attivata |
| EC2,34 | Le tabelle delle rotte dei gateway di transito EC2 devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | Sì | Modifica attivata |
| EC2,35 | Le interfacce di rete EC2 devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | Sì | Modifica attivata |
| EC2,36 | I gateway per i clienti EC2 devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Sì | Modifica attivata |
| EC2,37 | Gli indirizzi IP elastici EC2 devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Sì | Modifica attivata |
| EC2,38 | Le istanze EC2 devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | Sì | Modifica attivata |
| EC2,39 | I gateway Internet EC2 devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Sì | Modifica attivata |
| EC2,40 | I gateway NAT EC2 devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Sì | Modifica attivata |
| EC2.41 | Gli ACL di rete EC2 devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Sì | Modifica attivata |
| EC2,42 | Le tabelle delle rotte EC2 devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | Sì | Modifica attivata |
| EC2,43 | I gruppi di sicurezza EC2 devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Sì | Modifica attivata |
| EC2,44 | Le sottoreti EC2 devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | Sì | Modifica attivata |
| EC2,45 | I volumi EC2 devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Sì | Modifica attivata |
| EC2,46 | I VPC Amazon devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Sì | Modifica attivata |
| EC2,47 | I servizi endpoint Amazon VPC devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Sì | Modifica attivata |
| EC2,48 | I log di flusso di Amazon VPC devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Sì | Modifica attivata |
| EC2,49 | Le connessioni peering Amazon VPC devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | Sì | Modifica attivata |
| EC2,50 | I gateway VPN EC2 devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Sì | Modifica attivata |
| EC2,51 | Gli endpoint EC2 Client VPN devono avere la registrazione della connessione client abilitata | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | BASSO | |
Modifica attivata |
| EC2,52 | I gateway di transito EC2 devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Sì | Modifica attivata |
| EC2,53 | I gruppi di sicurezza EC2 non dovrebbero consentire l'accesso da 0.0.0.0/0 alle porte di amministrazione remota del server | AWS Benchmark CIS Foundations v3.0.0 | HIGH (ELEVATO) | Periodic (Periodico) | |
| EC2.54 | I gruppi di sicurezza EC2 non dovrebbero consentire l'accesso da: :/0 alle porte di amministrazione remota del server | Benchmark CIS Foundations v3.0.0 AWS | HIGH (ELEVATO) | Periodic (Periodico) | |
| ECR.1 | I repository privati ECR dovrebbero avere la scansione delle immagini configurata | AWS Buone pratiche di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | HIGH (ELEVATO) | |
Periodic (Periodico) |
| ECR.2 | Gli archivi privati ECR devono avere l'immutabilità dei tag configurata | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
Modifica attivata |
| ECR.3 | Gli archivi ECR devono avere almeno una politica del ciclo di vita configurata | AWS Buone pratiche di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
Modifica attivata |
| ECR.4 | Gli archivi pubblici ECR devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Sì | Modifica attivata |
| ECS.1 | Le definizioni delle attività di Amazon ECS devono avere modalità di rete e definizioni utente sicure. | AWS Buone pratiche di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | HIGH (ELEVATO) | |
Modifica attivata |
| ECS.2 | Ai servizi ECS non dovrebbero essere assegnati automaticamente indirizzi IP pubblici | AWS Buone pratiche di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | HIGH (ELEVATO) | |
Modifica attivata |
| ECS.3 | Le definizioni delle attività ECS non devono condividere lo spazio dei nomi del processo dell'host | AWS Buone pratiche di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | HIGH (ELEVATO) | |
Modifica attivata |
| ECS.4 | I contenitori ECS devono essere eseguiti come non privilegiati | AWS Buone pratiche di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | HIGH (ELEVATO) | |
Modifica attivata |
| ECS.5 | I contenitori ECS devono essere limitati all'accesso in sola lettura ai filesystem root | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | HIGH (ELEVATO) | |
Modifica attivata |
| ECS.8 | I segreti non devono essere passati come variabili di ambiente del contenitore | AWS Buone pratiche di sicurezza di base v1.0.0, Service Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | HIGH (ELEVATO) | |
Modifica attivata |
| ECS.9 | Le definizioni delle attività ECS devono avere una configurazione di registrazione | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ELEVATO) | |
Modifica attivata |
| ECS.10 | I servizi ECS Fargate devono essere eseguiti sulla versione più recente della piattaforma Fargate | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
Modifica attivata |
| ECS.12 | I cluster ECS devono utilizzare Container Insights | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
Modifica attivata |
| ECS.13 | I servizi ECS devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Sì | Modifica attivata |
| ECS.14 | I cluster ECS devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Sì | Modifica attivata |
| ECS.15 | Le definizioni delle attività ECS devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | Sì | Modifica attivata |
| EFS.1 | Elastic File System deve essere configurato per crittografare i dati dei file archiviati utilizzando AWS KMS | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
Periodic (Periodico) |
| EFS.2 | I volumi Amazon EFS devono essere inclusi nei piani di backup | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
Periodic (Periodico) |
| EFS.3 | I punti di accesso EFS devono applicare una directory principale | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
Modifica attivata |
| EFS.4 | I punti di accesso EFS devono applicare un'identità utente | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
Modifica attivata |
| EFS.5 | I punti di accesso EFS devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Modifica attivata | |
| EFS.6 | Gli obiettivi di montaggio EFS non devono essere associati a una sottorete pubblica | AWS Migliori pratiche di sicurezza di base | MEDIO | Periodic (Periodico) | |
| EKS.1 | Gli endpoint del cluster EKS non dovrebbero essere accessibili al pubblico | AWS Migliori pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ELEVATO) | |
Periodic (Periodico) |
| EKS.2 | I cluster EKS devono essere eseguiti su una versione di Kubernetes supportata | AWS Buone pratiche di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | HIGH (ELEVATO) | |
Modifica attivata |
| EKS.3 | I cluster EKS devono utilizzare segreti Kubernetes crittografati | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5 | MEDIO | Periodic (Periodico) | |
| EKS.6 | I cluster EKS devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Sì | Modifica attivata |
| EKS.7 | Le configurazioni dei provider di identità EKS devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | Sì | Modifica attivata |
| EKS.8 | I cluster EKS dovrebbero avere la registrazione di controllo abilitata | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Periodic (Periodico) |
| ElastiCache1. | ElastiCache I cluster Redis devono avere il backup automatico abilitato | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ELEVATO) | |
Periodic (Periodico) |
| ElastiCache2. | ElastiCache per i cluster di cache Redis dovrebbero essere abilitati gli aggiornamenti automatici delle versioni secondarie | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ELEVATO) | |
Periodic (Periodico) |
| ElastiCache3. | ElastiCache i gruppi di replica devono avere il failover automatico abilitato | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Periodic (Periodico) |
| ElastiCache4. | ElastiCache i gruppi di replica avrebbero dovuto essere abilitati encryption-at-rest | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Periodic (Periodico) |
| ElastiCache5. | ElastiCache i gruppi di replica avrebbero dovuto essere abilitati encryption-in-transit | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Periodic (Periodico) |
| ElastiCache6. | ElastiCache i gruppi di replica delle versioni precedenti di Redis devono avere Redis AUTH abilitato | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Periodic (Periodico) |
| ElastiCache7. | ElastiCache i cluster non devono utilizzare il gruppo di sottoreti predefinito | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ELEVATO) | |
Periodic (Periodico) |
| ElasticBeanstalk1. | Gli ambienti Elastic Beanstalk dovrebbero avere la reportistica sanitaria avanzata abilitata | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | BASSO | |
Modifica attivata |
| ElasticBeanstalk2. | Gli aggiornamenti della piattaforma gestita da Elastic Beanstalk devono essere abilitati | AWS Buone pratiche di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | HIGH (ELEVATO) | |
Modifica attivata |
| ElasticBeanstalk3. | Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch | AWS Migliori pratiche di sicurezza di base v1.0.0 | HIGH (ELEVATO) | |
Modifica attivata |
| ELB.1 | Application Load Balancer deve essere configurato per reindirizzare tutte le richieste HTTP a HTTPS | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, PCI DSS v3.2.1, NIST SP 800-53 AWS Control Tower Rev. 5 | MEDIO | |
Periodic (Periodico) |
| ELB.2 | I sistemi Classic Load Balancer con listener SSL/HTTPS devono utilizzare un certificato fornito da AWS Certificate Manager | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
Modifica attivata |
| ELB.3 | I listener Classic Load Balancer devono essere configurati con terminazione HTTPS o TLS | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
Modifica attivata |
| ELB.4 | Application Load Balancer deve essere configurato per eliminare le intestazioni http | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
Modifica attivata |
| ELB.5 | La registrazione di Application e Classic Load Balancers deve essere abilitata | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
Modifica attivata |
| ELB.6 | Application, Gateway e Network Load Balancer devono avere la protezione da eliminazione abilitata | AWS Best practice di sicurezza di base, Service Managed Standard:, NIST SP 800-53 Rev. AWS Control Tower 5 | MEDIO | Modifica attivata | |
| ELB.7 | I Classic Load Balancer dovrebbero avere abilitato il drenaggio della connessione | AWS Buone pratiche di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
Modifica attivata |
| ELB.8 | I Classic Load Balancer con listener SSL devono utilizzare una politica di sicurezza predefinita con una configurazione avanzata | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
Modifica attivata |
| ELB.9 | I sistemi Classic Load Balancer devono avere il bilanciamento del carico tra zone abilitato | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
Modifica attivata |
| ELB.10 | Classic Load Balancer dovrebbe estendersi su più zone di disponibilità | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
Modifica attivata |
| ELB.12 | Application Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa. | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
Modifica attivata |
| ELB.13 | I Load Balancer per applicazioni, reti e gateway devono estendersi su più zone di disponibilità | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
Modifica attivata |
| ELB.14 | Classic Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
Modifica attivata |
| ELB.16 | Gli Application Load Balancer devono essere associati a un ACL web AWS WAF | NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| EMR.1 | I nodi primari del cluster Amazon EMR non devono avere indirizzi IP pubblici | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | HIGH (ELEVATO) | |
Periodic (Periodico) |
| EMR.2 | L'impostazione di accesso pubblico a blocchi di Amazon EMR deve essere abilitata | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | CRITICO | |
Periodic (Periodico) |
| ES.1 | I domini Elasticsearch devono avere la crittografia a riposo abilitata | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard: AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | MEDIO | |
Periodic (Periodico) |
| ES.2 | I domini Elasticsearch non dovrebbero essere accessibili al pubblico | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, PCI DSS v3.2.1, NIST SP 800-53 Rev. AWS Control Tower 5 | CRITICO | |
Periodic (Periodico) |
| ES.3 | I domini Elasticsearch devono crittografare i dati inviati tra i nodi | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
Modifica attivata |
| ES.4 | La registrazione degli errori del dominio Elasticsearch nei registri deve essere abilitata CloudWatch | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
Modifica attivata |
| ES.5 | I domini Elasticsearch devono avere la registrazione di controllo abilitata | AWS Buone pratiche di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
Modifica attivata |
| ES.6 | I domini Elasticsearch devono avere almeno tre nodi di dati | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
Modifica attivata |
| ES.7 | I domini Elasticsearch devono essere configurati con almeno tre nodi master dedicati | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
Modifica attivata |
| ES.8 | Le connessioni ai domini Elasticsearch devono essere crittografate utilizzando la più recente politica di sicurezza TLS | AWS Best practice di sicurezza di base, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | Modifica attivata | |
| ES.9 | I domini Elasticsearch devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Sì | Modifica attivata |
| EventBridge2. | EventBridge gli event bus devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Sì | Modifica attivata |
| EventBridge3. | EventBridge i bus di eventi personalizzati devono avere una politica basata sulle risorse allegata | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | BASSO | |
Modifica attivata |
| EventBridge4. | EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata | NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| FSX.1 | I file system FSx per OpenZFS devono essere configurati per copiare i tag su backup e volumi. | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | BASSO | |
Modifica attivata |
| FSX.2 | I file system FSx for Lustre devono essere configurati per copiare i tag nei backup | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5 | BASSO | Modifica attivata | |
| Colla.1 | AWS Glue i lavori devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Sì | Modifica attivata |
| GlobalAccelerator1. | Gli acceleratori Global Accelerator devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Sì | Modifica attivata |
| GuardDuty1. | GuardDuty dovrebbe essere abilitato | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 Rev. 5 | HIGH (ELEVATO) | |
Periodic (Periodico) |
| GuardDuty2. | GuardDuty i filtri devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Sì | Modifica attivata |
| GuardDuty3. | GuardDuty Gli IPset devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Sì | Modifica attivata |
| GuardDuty4. | GuardDuty i rilevatori devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Sì | Modifica attivata |
| IAM.1 | Le politiche IAM non dovrebbero consentire privilegi amministrativi «*» completi | CIS AWS Foundations Benchmark v1.2.0, AWS Foundational Security Best Practices v1.0.0, Service Managed Standard:, PCI DSS v3.2.1, CIS Foundations Benchmark v1.4.0 AWS Control Tower, NIST SP 800-53 Rev. 5 AWS | HIGH (ELEVATO) | |
Modifica attivata |
| IAM.2 | Gli utenti IAM non devono avere policy IAM allegate | CIS AWS Foundations Benchmark v1.2.0, AWS Foundational Security Best Practices v1.0.0, Service Managed Standard: AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | BASSO | |
Modifica attivata |
| IAM.3 | Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno | CIS AWS Foundations Benchmark v1.2.0, AWS Foundational Security Best Practices v1.0.0, Service Managed Standard:, CIS Foundations Benchmark v1.4.0, NIST SP 800-53 Rev. 5 AWS Control Tower AWS | MEDIO | |
Periodic (Periodico) |
| IAM.4 | La chiave di accesso utente root IAM non dovrebbe esistere | CIS AWS Foundations Benchmark v1.2.0, AWS Foundational Security Best Practices v1.0.0, Service Managed Standard:, PCI DSS v3.2.1, CIS Foundations Benchmark v1.4.0 AWS Control Tower, NIST SP 800-53 Rev. 5 AWS | CRITICO | |
Periodic (Periodico) |
| IAM.5 | L'MFA deve essere abilitata per tutti gli utenti IAM che dispongono di una password di console | CIS AWS Foundations Benchmark v1.2.0, AWS Foundational Security Best Practices v1.0.0, Service Managed Standard: AWS Control Tower, CIS Foundations Benchmark v1.4.0, NIST SP 800-53 Rev. 5 AWS | MEDIO | |
Periodic (Periodico) |
| IAM.6 | La MFA hardware deve essere abilitata per l'utente root | CIS AWS Foundations Benchmark v1.2.0, AWS Foundational Security Best Practices v1.0.0, Service Managed Standard:, PCI DSS v3.2.1, CIS Foundations Benchmark v1.4.0 AWS Control Tower, NIST SP 800-53 Rev. 5 AWS | CRITICO | |
Periodic (Periodico) |
| IAM.7 | Le politiche relative alle password per gli utenti IAM dovrebbero avere configurazioni solide | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
Periodic (Periodico) |
| IAM.8 | Le credenziali utente IAM non utilizzate devono essere rimosse | Benchmark CIS AWS Foundations v1.2.0, AWS Foundational Security Best Practices v1.0.0, Service Managed Standard:, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
Periodic (Periodico) |
| IAM.9 | L'MFA deve essere abilitata per l'utente root | Benchmark CIS AWS Foundations versione 1.2.0, PCI DSS versione 3.2.1, benchmark CIS Foundations versione 1.4.0, NIST SP AWS 800-53 Rev. 5 | CRITICO | |
Periodic (Periodico) |
| IO SONO 10 | Le politiche in materia di password per gli utenti IAM devono avere configurazioni solide | PCI DSS v3.2.1 | MEDIO | |
Periodic (Periodico) |
| IAM.11 | Assicurati che la politica delle password IAM richieda almeno una lettera maiuscola | Benchmark CIS Foundations v1.2.0 AWS | MEDIO | |
Periodic (Periodico) |
| IAM.12 | Assicurati che la politica delle password IAM richieda almeno una lettera minuscola | Benchmark CIS Foundations v1.2.0 AWS | MEDIO | |
Periodic (Periodico) |
| IAM.13 | Assicurati che la politica delle password IAM richieda almeno un simbolo | Benchmark CIS AWS Foundations v1.2.0 | MEDIO | |
Periodic (Periodico) |
| IAM.14 | Assicurati che la politica delle password IAM richieda almeno un numero | Benchmark CIS AWS Foundations v1.2.0 | MEDIO | |
Periodic (Periodico) |
| IAM.15 | Assicurati che la politica delle password di IAM richieda una lunghezza minima della password pari o superiore a 14 | Benchmark CIS AWS Foundations v1.2.0, benchmark CIS Foundations v1.4.0 AWS | MEDIO | |
Periodic (Periodico) |
| IAM.16 | Verifica che la policy delle password di IAM impedisca il riutilizzo delle password | Benchmark CIS AWS Foundations v1.2.0, benchmark CIS Foundations v1.4.0 AWS | BASSO | |
Periodic (Periodico) |
| IAM.17 | Assicurati che la policy sulle password di IAM faccia scadere le password entro 90 giorni o meno | Benchmark CIS Foundations v1.2.0 AWS | BASSO | |
Periodic (Periodico) |
| IAM.18 | Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con AWS Support | Benchmark CIS AWS Foundations v1.2.0, benchmark CIS Foundations v1.4.0 AWS | BASSO | |
Periodic (Periodico) |
| IO HO 19 ANNI | L'MFA deve essere abilitata per tutti gli utenti IAM | PCI DSS versione 3.2.1, NIST SP 800-53 Rev. 5 | MEDIO | |
Periodic (Periodico) |
| IAM.21 | Le policy gestite dai clienti IAM che crei non dovrebbero consentire azioni jolly per i servizi | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | BASSO | |
Modifica attivata |
| IO HO 22 ANNI | Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse | Benchmark CIS Foundations v1.4.0 AWS | MEDIO | |
Periodic (Periodico) |
| IO HO 23 ANNI | Gli analizzatori IAM Access Analyzer devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Modifica attivata | |
| IO HO 24 ANNI | I ruoli IAM devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Modifica attivata | |
| HO 25 ANNI | Gli utenti IAM devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Modifica attivata | |
| IO HO 26 ANNI | I certificati SSL/TLS scaduti gestiti in IAM devono essere rimossi | AWS Benchmark CIS Foundations v3.0.0 | MEDIO | Periodic (Periodico) | |
| IO SONO 27 | La policy non dovrebbe essere allegata alle identità IAM AWSCloudShellFullAccess | Benchmark CIS AWS Foundations v3.0.0 | MEDIO | Modifica attivata | |
| IO HO 28 ANNI | L'analizzatore di accesso esterno IAM Access Analyzer deve essere abilitato | Benchmark CIS Foundations v3.0.0 AWS | HIGH (ELEVATO) | Periodic (Periodico) | |
| IoT.1 | AWS IoT Core i profili di sicurezza devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Sì | Modifica attivata |
| IoT.2 | AWS IoT Core le azioni di mitigazione devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | Sì | Modifica attivata |
| IoT.3 | AWS IoT Core le dimensioni devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | Sì | Modifica attivata |
| IoT 4 | AWS IoT Core gli autorizzatori devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Sì | Modifica attivata |
| IoT.5 | AWS IoT Core gli alias di ruolo devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Sì | Modifica attivata |
| IoT 6 | AWS IoT Core le politiche devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | Sì | Modifica attivata |
| Kinesis.1 | Gli stream Kinesis devono essere crittografati quando sono inattivi | AWS Buone pratiche di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
Modifica attivata |
| Cinesi.2 | Gli stream Kinesis devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Sì | Modifica attivata |
| KMS.1 | Le politiche gestite dai clienti IAM non dovrebbero consentire azioni di decrittografia su tutte le chiavi KMS | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
Modifica attivata |
| KMS.2 | I responsabili IAM non dovrebbero disporre di policy IAM in linea che consentano azioni di decrittografia su tutte le chiavi KMS | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
Modifica attivata |
| KMS.3 | AWS KMS keys non deve essere eliminato involontariamente | AWS Buone pratiche di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | CRITICO | |
Modifica attivata |
| KMS.4 | AWS KMS key la rotazione dovrebbe essere abilitata | Benchmark CIS AWS Foundations versione 1.2.0, PCI DSS versione 3.2.1, benchmark CIS Foundations versione 1.4.0, NIST SP 800-53 Rev. 5 AWS | MEDIO | |
Periodic (Periodico) |
| Lambda.1 | Le politiche delle funzioni Lambda dovrebbero vietare l'accesso pubblico | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, PCI DSS v3.2.1, NIST SP 800-53 AWS Control Tower Rev. 5 | CRITICO | |
Modifica attivata |
| Lambda.2 | Le funzioni Lambda devono utilizzare runtime supportati | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
Modifica attivata |
| Lambda.3 | Le funzioni Lambda devono trovarsi in un VPC | PCI DSS versione 3.2.1, NIST SP 800-53 Rev. 5 | BASSO | |
Modifica attivata |
| Lambda.5 | Le funzioni VPC Lambda devono funzionare in più zone di disponibilità | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
Modifica attivata |
| Lambda.6 | Le funzioni Lambda devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | Sì | Modifica attivata |
| Macie.1 | Amazon Macie dovrebbe essere abilitato | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Periodic (Periodico) |
| Macie.2 | Il rilevamento automatico dei dati sensibili di Macie dovrebbe essere abilitato | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ELEVATO) | Periodic (Periodico) | |
| MSK.1 | I cluster MSK devono essere crittografati durante il transito tra i nodi del broker | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| MSK.2 | I cluster MSK dovrebbero avere un monitoraggio avanzato configurato | NIST SP 800-53 Rev. 5 | BASSO | |
Modifica attivata |
| MQ. 2 | I broker ActiveMQ devono trasmettere i log di controllo a CloudWatch | AWS Migliori pratiche di sicurezza di base, NIST SP 800-53 Rev. 5 | MEDIO | Modifica attivata | |
| MQ. 3 | I broker Amazon MQ dovrebbero avere abilitato l'aggiornamento automatico delle versioni secondarie | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5 | BASSO | Modifica attivata | |
| MQ.4 | I broker Amazon MQ devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Sì | Modifica attivata |
| MQ.5 | I broker ActiveMQ devono utilizzare la modalità di distribuzione attiva/standby | NIST SP 800-53 Rev. 5, Standard di gestione dei servizi: AWS Control Tower | BASSO | |
Modifica attivata |
| MQ.6 | I broker RabbitMQ dovrebbero utilizzare la modalità di distribuzione cluster | NIST SP 800-53 Rev. 5, Standard di gestione dei servizi: AWS Control Tower | BASSO | |
Modifica attivata |
| Nettuno.1 | I cluster Neptune DB devono essere crittografati a riposo | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, Service Managed Standard: AWS Control Tower | MEDIO | |
Modifica attivata |
| Nettuno.2 | I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, Service Managed Standard: AWS Control Tower | MEDIO | |
Modifica attivata |
| Nettuno.3 | Le istantanee del cluster Neptune DB non devono essere pubbliche | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, Service Managed Standard: AWS Control Tower | CRITICO | |
Modifica attivata |
| Nettuno.4 | I cluster Neptune DB devono avere la protezione da eliminazione abilitata | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, Service Managed Standard: AWS Control Tower | BASSO | |
Modifica attivata |
| Nettuno.5 | I cluster Neptune DB devono avere i backup automatici abilitati | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, Service Managed Standard: AWS Control Tower | MEDIO | |
Modifica attivata |
| Nettuno.6 | Le istantanee del cluster Neptune DB devono essere crittografate a riposo | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, Service Managed Standard: AWS Control Tower | MEDIO | |
Modifica attivata |
| Nettuno.7 | I cluster Neptune DB devono avere l'autenticazione del database IAM abilitata | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, Service Managed Standard: AWS Control Tower | MEDIO | |
Modifica attivata |
| Nettuno.8 | I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, Service Managed Standard: AWS Control Tower | BASSO | |
Modifica attivata |
| Nettuno.9 | I cluster Neptune DB devono essere distribuiti su più zone di disponibilità | NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| NetworkFirewall1. | I firewall Network Firewall devono essere implementati su più zone di disponibilità | NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| NetworkFirewall2. | La registrazione del Network Firewall deve essere abilitata | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Periodic (Periodico) |
| NetworkFirewall3. | Le policy del Network Firewall devono avere almeno un gruppo di regole associato | AWS Buone pratiche di sicurezza di base v1.0.0, Service Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| NetworkFirewall4. | L'azione stateless predefinita per le policy di Network Firewall dovrebbe essere «drop or forward» per pacchetti completi. | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
Modifica attivata |
| NetworkFirewall5. | L'azione stateless predefinita per le policy di Network Firewall dovrebbe essere drop or forward per i pacchetti frammentati. | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
Modifica attivata |
| NetworkFirewall6. | Il gruppo di regole del firewall di rete stateless non deve essere vuoto | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
Modifica attivata |
| NetworkFirewall7. | I firewall Network Firewall devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Sì | Modifica attivata |
| NetworkFirewall8. | Le politiche firewall del Network Firewall devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | Sì | Modifica attivata |
| NetworkFirewall9. | I firewall Network Firewall devono avere la protezione da eliminazione abilitata | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| Opensearch.1 | OpenSearch i domini devono avere la crittografia a riposo abilitata | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, PCI DSS v3.2.1, NIST SP AWS Control Tower 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| Opensearch.2 | OpenSearch i domini non dovrebbero essere accessibili al pubblico | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, PCI DSS v3.2.1, NIST SP AWS Control Tower 800-53 Rev. 5 | CRITICO | |
Modifica attivata |
| Opensearch.3 | OpenSearch i domini devono crittografare i dati inviati tra i nodi | AWS Buone pratiche di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
Modifica attivata |
| Opensearch.4 | OpenSearch la registrazione degli errori di dominio nei CloudWatch registri dovrebbe essere abilitata | AWS Buone pratiche di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
Modifica attivata |
| Opensearch.5 | OpenSearch i domini devono avere la registrazione di controllo abilitata | AWS Buone pratiche di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
Modifica attivata |
| Opensearch.6 | OpenSearch i domini devono avere almeno tre nodi di dati | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
Modifica attivata |
| Opensearch.7 | OpenSearch i domini devono avere un controllo granulare degli accessi abilitato | AWS Buone pratiche di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | HIGH (ELEVATO) | |
Modifica attivata |
| Opensearch.8 | Le connessioni ai OpenSearch domini devono essere crittografate utilizzando la politica di sicurezza TLS più recente | AWS Best practice di sicurezza di base, Service Managed Standard:, NIST SP 800-53 Rev. AWS Control Tower 5 | MEDIO | Modifica attivata | |
| Ricerca aperta. 9 | OpenSearch i domini devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Sì | Modifica attivata |
| Ricerca aperta. 10 | OpenSearch nei domini dovrebbe essere installato l'ultimo aggiornamento software | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | BASSO | |
Modifica attivata |
| Ricerca aperta. 11 | OpenSearch i domini devono avere almeno tre nodi primari dedicati | NIST SP 800-53 Rev. 5 | MEDIO | Periodic (Periodico) | |
| PCA.1 | AWS Private CA l'autorità di certificazione principale deve essere disabilitata | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | BASSO | |
Periodic (Periodico) |
| RDS.1 | L'istantanea RDS deve essere privata | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, PCI DSS v3.2.1, NIST SP 800-53 AWS Control Tower Rev. 5 | CRITICO | |
Modifica attivata |
| RDS.2 | Le istanze DB RDS devono vietare l'accesso pubblico, come stabilito dalla configurazione PubliclyAccessible | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, PCI DSS v3.2.1, NIST SP 800-53 Rev. AWS Control Tower 5 | CRITICO | |
Modifica attivata |
| RDS.3 | Le istanze DB RDS devono avere la crittografia a riposo abilitata | AWS Buone pratiche di sicurezza di base v1.0.0, Service Managed Standard:, CIS Foundations Benchmark v1.4.0, NIST SP 800-53 AWS Control Tower AWS Rev. 5 | MEDIO | |
Modifica attivata |
| RDS.4 | Le istantanee del cluster RDS e le istantanee del database devono essere crittografate quando sono inattive | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
Modifica attivata |
| RDS.5 | Le istanze DB RDS devono essere configurate con più zone di disponibilità | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
Modifica attivata |
| RDS.6 | Il monitoraggio avanzato deve essere configurato per le istanze DB RDS | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | BASSO | |
Modifica attivata |
| RDS.7 | I cluster RDS devono avere la protezione da eliminazione abilitata | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | BASSO | |
Modifica attivata |
| RDS.8 | Le istanze DB RDS devono avere la protezione da eliminazione abilitata | AWS Buone pratiche di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | BASSO | |
Modifica attivata |
| RDS.9 | Le istanze DB RDS devono pubblicare i log in Logs CloudWatch | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
Modifica attivata |
| RDS.10 | L'autenticazione IAM deve essere configurata per le istanze RDS | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
Modifica attivata |
| RDS.11 | Le istanze RDS devono avere i backup automatici abilitati | AWS Buone pratiche di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
Modifica attivata |
| RDS.12 | L'autenticazione IAM deve essere configurata per i cluster RDS | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| RDS.13 | Gli aggiornamenti automatici delle versioni secondarie di RDS devono essere abilitati | AWS Buone pratiche di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | HIGH (ELEVATO) | |
Modifica attivata |
| RDS.14 | I cluster Amazon Aurora dovrebbero avere il backtracking abilitato | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| RDS.15 | I cluster RDS DB devono essere configurati per più zone di disponibilità | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| RDS.16 | I cluster RDS DB devono essere configurati per copiare i tag nelle istantanee | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | BASSO | |
Modifica attivata |
| RDS.17 | Le istanze DB RDS devono essere configurate per copiare i tag nelle istantanee | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | BASSO | |
Modifica attivata |
| RDS.18 | Le istanze RDS devono essere distribuite in un VPC | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | HIGH (ELEVATO) | |
Modifica attivata |
| RDS.19 | Gli abbonamenti esistenti per la notifica degli eventi RDS devono essere configurati per gli eventi critici del cluster | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | BASSO | |
Modifica attivata |
| RDS.20 | Gli abbonamenti esistenti per la notifica degli eventi RDS devono essere configurati per gli eventi critici delle istanze di database | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | BASSO | |
Modifica attivata |
| RDS.21 | È necessario configurare un abbonamento alle notifiche di eventi RDS per gli eventi critici del gruppo di parametri del database | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | BASSO | |
Modifica attivata |
| RDS.22 | È necessario configurare un abbonamento alle notifiche di eventi RDS per gli eventi critici dei gruppi di sicurezza del database | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | BASSO | |
Modifica attivata |
| RDS.23 | Le istanze RDS non devono utilizzare una porta predefinita del motore di database | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | BASSO | |
Modifica attivata |
| RDS.24 | I cluster di database RDS devono utilizzare un nome utente di amministratore personalizzato | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| RDS.25 | Le istanze del database RDS devono utilizzare un nome utente di amministratore personalizzato | AWS Buone pratiche di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
Modifica attivata |
| RDS.26 | Le istanze DB RDS devono essere protette da un piano di backup | NIST SP 800-53 Rev. 5 | MEDIO | |
Periodic (Periodico) |
| RDS.27 | I cluster RDS DB devono essere crittografati quando sono inattivi | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, Service Managed Standard: AWS Control Tower | MEDIO | |
Modifica attivata |
| RDS.28 | I cluster DB RDS devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Sì | Modifica attivata |
| RDS.29 | Le istantanee del cluster RDS DB devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | Sì | Modifica attivata |
| RDS.30 | Le istanze DB RDS devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | Sì | Modifica attivata |
| RDS.31 | I gruppi di sicurezza RDS DB devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Sì | Modifica attivata |
| RDS.32 | Le istantanee RDS DB devono essere contrassegnate | AWS Standard di etichettatura delle risorse | BASSO | Sì | Modifica attivata |
| RDS.33 | I gruppi di sottoreti RDS DB devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Sì | Modifica attivata |
| RDS.34 | I cluster Aurora MySQL DB devono pubblicare i log di controllo su Logs CloudWatch | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| RDS.35 | Nei cluster RDS DB dovrebbe essere abilitato l'aggiornamento automatico delle versioni secondarie | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| Redshift.1 | I cluster Amazon Redshift dovrebbero vietare l'accesso pubblico | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, PCI DSS v3.2.1, NIST SP 800-53 Rev. AWS Control Tower 5 | CRITICO | |
Modifica attivata |
| Redshift.2 | Le connessioni ai cluster Amazon Redshift devono essere crittografate in transito | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
Modifica attivata |
| Redshift.3 | I cluster Amazon Redshift devono avere le istantanee automatiche abilitate | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| Redshift.4 | I cluster Amazon Redshift devono avere la registrazione di controllo abilitata | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
Modifica attivata |
| Redshift.6 | Amazon Redshift dovrebbe avere gli upgrade automatici alle versioni principali abilitati | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
Modifica attivata |
| Redshift.7 | I cluster Redshift devono utilizzare un routing VPC avanzato | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
Modifica attivata |
| Redshift.8 | I cluster Amazon Redshift non devono utilizzare il nome utente di amministratore predefinito | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
Modifica attivata |
| Redshift.9 | I cluster Redshift non devono utilizzare il nome di database predefinito | AWS Buone pratiche di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
Modifica attivata |
| Redshift.10 | I cluster Redshift devono essere crittografati quando sono inattivi | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
Modifica attivata |
| Redshift.11 | I cluster Redshift devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Sì | Modifica attivata |
| Redshift 12 | Le notifiche di sottoscrizione agli eventi Redshift devono essere contrassegnate | AWS Standard di etichettatura delle risorse | BASSO | Sì | Modifica attivata |
| Redshift 13 | Le istantanee del cluster Redshift devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | Sì | Modifica attivata |
| Redshift 14 | I gruppi di sottoreti del cluster Redshift devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Sì | Modifica attivata |
| Redshift 15 | I gruppi di sicurezza Redshift dovrebbero consentire l'accesso alla porta del cluster solo da origini limitate | AWS Le migliori pratiche di sicurezza di base | HIGH (ELEVATO) | Periodic (Periodico) | |
| Percorso 53.1 | I controlli sanitari della Route 53 devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Sì | Modifica attivata |
| Percorso 53.2 | Le zone ospitate pubbliche di Route 53 devono registrare le query DNS | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| S3.1 | I bucket S3 per uso generico devono avere le impostazioni di blocco dell'accesso pubblico abilitate | AWS Best practice di sicurezza di base, Service Managed Standard:, PCI DSS v3.2.1 AWS Control Tower, CIS Foundations Benchmark v1.4.0, NIST SP 800-53 Rev. 5 AWS | MEDIO | Periodic (Periodico) | |
| S3.2 | I bucket S3 per uso generico dovrebbero bloccare l'accesso pubblico alla lettura | AWS Best practice di sicurezza di base, Service Managed Standard:, PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 Rev. 5 | CRITICO | Modifica attivata e periodica | |
| S3.3 | I bucket S3 per uso generico dovrebbero bloccare l'accesso pubblico in scrittura | AWS Best practice di sicurezza di base, Service Managed Standard:, PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 Rev. 5 | CRITICO | Modifica attivata e periodica | |
| S3.5 | I bucket S3 per uso generico dovrebbero richiedere l'utilizzo di SSL | AWS Best practice di sicurezza di base, Service Managed Standard:, PCI DSS v3.2.1 AWS Control Tower, CIS Foundations Benchmark v1.4.0, NIST SP 800-53 Rev. 5 AWS | MEDIO | Modifica attivata | |
| S3.6 | Le policy relative ai bucket per uso generico di S3 dovrebbero limitare l'accesso ad altri Account AWS | AWS Best practice di sicurezza di base, Service Managed Standard:, NIST SP 800-53 Rev. AWS Control Tower 5 | HIGH (ELEVATO) | Modifica attivata | |
| S3.7 | I bucket S3 per uso generico devono utilizzare la replica tra regioni | PCI DSS versione 3.2.1, NIST SP 800-53 Rev. 5 | BASSO | Modifica attivata | |
| S3.8 | I bucket S3 per uso generico dovrebbero bloccare l'accesso pubblico | AWS Best practice di sicurezza di base, Service Managed Standard:, CIS AWS Foundations Benchmark v1.4.0 AWS Control Tower, NIST SP 800-53 Rev. 5 | HIGH (ELEVATO) | Modifica attivata | |
| S3.9 | I bucket S3 per uso generico devono avere la registrazione degli accessi al server abilitata | AWS Best practice di sicurezza di base, Service Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | Modifica attivata | |
| S3.10 | I bucket S3 per uso generico con il controllo delle versioni abilitato devono avere configurazioni del ciclo di vita | NIST SP 800-53 Rev. 5 | MEDIO | Modifica attivata | |
| S3.11 | I bucket S3 per uso generico devono avere le notifiche degli eventi abilitate | NIST SP 800-53 Rev. 5 | MEDIO | Modifica attivata | |
| S3.12 | Gli ACL non devono essere utilizzati per gestire l'accesso degli utenti ai bucket generici S3 | AWS Best practice di sicurezza di base, Service Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | Modifica attivata | |
| S3.13 | I bucket S3 per uso generico devono avere configurazioni del ciclo di vita | AWS Best practice di sicurezza di base, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | BASSO | Modifica attivata | |
| S3.14 | I bucket S3 per uso generico devono avere il controllo delle versioni abilitato | NIST SP 800-53 Rev. 5 | BASSO | Modifica attivata | |
| S3.15 | I bucket S3 per uso generico devono avere Object Lock abilitato | NIST SP 800-53 Rev. 5 | MEDIO | Modifica attivata | |
| S3.17 | I bucket S3 per uso generico devono essere crittografati quando sono inattivi con AWS KMS keys | Standard gestito dai servizi: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | Modifica attivata | |
| S3.19 | I punti di accesso S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate | AWS Migliori pratiche di sicurezza di base, NIST SP 800-53 Rev. 5 | CRITICO | Modifica attivata | |
| S3.20 | I bucket S3 per uso generico devono avere l'eliminazione MFA abilitata | Benchmark CIS AWS Foundations v1.4.0, NIST SP 800-53 Rev. 5 | BASSO | Modifica attivata | |
| S3.22 | I bucket S3 per uso generico dovrebbero registrare gli eventi di scrittura a livello di oggetto | Benchmark CIS Foundations v3.0.0 AWS | MEDIO | Periodic (Periodico) | |
| S3.23 | I bucket S3 per uso generico dovrebbero registrare gli eventi di lettura a livello di oggetto | Benchmark CIS Foundations v3.0.0 AWS | MEDIO | Periodic (Periodico) | |
| SageMaker1. | Le istanze di SageMaker notebook Amazon non devono avere accesso diretto a Internet | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, PCI DSS v3.2.1, NIST SP AWS Control Tower 800-53 Rev. 5 | HIGH (ELEVATO) | |
Periodic (Periodico) |
| SageMaker2. | SageMaker le istanze dei notebook devono essere avviate in un VPC personalizzato | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | HIGH (ELEVATO) | |
Modifica attivata |
| SageMaker3. | Gli utenti non devono avere accesso root alle istanze del SageMaker notebook | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | HIGH (ELEVATO) | |
Modifica attivata |
| SageMaker4. | SageMaker le varianti di produzione endpoint devono avere un numero iniziale di istanze maggiore di 1 | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5 | MEDIO | Periodic (Periodico) | |
| SecretsManager1. | I segreti di Secrets Manager devono avere la rotazione automatica abilitata | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| SecretsManager2. | I segreti di Secrets Manager configurati con rotazione automatica dovrebbero ruotare correttamente | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
Modifica attivata |
| SecretsManager3. | Rimuovi i segreti inutilizzati di Secrets Manager | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
Periodic (Periodico) |
| SecretsManager4. | I segreti di Secrets Manager devono essere ruotati entro un determinato numero di giorni | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
Periodic (Periodico) |
| SecretsManager5. | I segreti di Secrets Manager devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Sì | Modifica attivata |
| ServiceCatalog1. | I portafogli Service Catalog devono essere condivisi solo all'interno di un' AWS organizzazione | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5 | HIGH (ELEVATO) | Periodic (Periodico) | |
| VES.1 | Gli elenchi di contatti SES devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Sì | Modifica attivata |
| SE.2 | I set di configurazione SES devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Sì | Modifica attivata |
| SNS.1 | Gli argomenti SNS devono essere crittografati a riposo utilizzando AWS KMS | NIST SP 800-53 Rev. 5 | MEDIO | Modifica attivata | |
| SNS.3 | Gli argomenti SNS devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Sì | Modifica attivata |
| SQS.1 | Le code di Amazon SQS devono essere crittografate quando sono inattive | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
Modifica attivata |
| SQS.2 | Le code SQS devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | Sì | Modifica attivata |
| SSM.1 | Le istanze EC2 devono essere gestite da AWS Systems Manager | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, PCI DSS v3.2.1, NIST SP 800-53 AWS Control Tower Rev. 5 | MEDIO | |
Modifica attivata |
| SSM.2 | Le istanze EC2 gestite da Systems Manager devono avere uno stato di conformità delle patch pari a CONFORME dopo l'installazione della patch. | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard: AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | HIGH (ELEVATO) | |
Modifica attivata |
| SSM.3 | Le istanze EC2 gestite da Systems Manager devono avere uno stato di conformità dell'associazione pari a COMPLIANT | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard: AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | BASSO | |
Modifica attivata |
| SSM.4 | I documenti SSM non devono essere pubblici | AWS Buone pratiche di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | CRITICO | |
Periodic (Periodico) |
| StepFunctions1. | Le macchine a stati Step Functions dovrebbero avere la registrazione attivata | AWS Migliori pratiche di sicurezza di base | MEDIO | |
Modifica attivata |
| StepFunctions2. | Le attività di Step Functions devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | Sì | Modifica attivata |
| Trasferimento.1 | I flussi di lavoro Transfer Family devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Sì | Modifica attivata |
| Trasferimento.2 | I server Transfer Family non devono utilizzare il protocollo FTP per la connessione agli endpoint | AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5 | MEDIO | Periodic (Periodico) | |
| WAF.1 | AWS WAF La registrazione classica Global Web ACL deve essere abilitata | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Periodic (Periodico) |
| WAF.2 | AWS WAF Le regole regionali classiche devono avere almeno una condizione | AWS Buone pratiche di sicurezza di base v1.0.0, Service Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| WAF.3 | AWS WAF I gruppi di regole regionali classici devono avere almeno una regola | AWS Buone pratiche di sicurezza di base v1.0.0, Service Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| WAF.4 | AWS WAF Gli ACL Web regionali classici devono avere almeno una regola o un gruppo di regole | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
Modifica attivata |
| WAF.6 | AWS WAF Le regole globali classiche devono avere almeno una condizione | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| WAF.7 | AWS WAF I gruppi di regole globali classici devono avere almeno una regola | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| WAF.8 | AWS WAF Gli ACL Web globali classici devono avere almeno una regola o un gruppo di regole | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| WAF.10 | AWS WAF gli ACL web devono avere almeno una regola o un gruppo di regole | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
Modifica attivata |
| WAF.11 | AWS WAF la registrazione ACL web deve essere abilitata | NIST SP 800-53 Rev. 5 | BASSO | |
Periodic (Periodico) |
| AF.12 | AWS WAF le regole dovrebbero avere le metriche abilitate CloudWatch | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
Argomenti
- Account AWS controlli
- AWS Certificate Manager controlli
- Controlli Amazon API Gateway
- AWS AppSync controlli
- Controlli Amazon Athena
- AWS Backup controlli
- AWS CloudFormation controlli
- CloudFront Controlli Amazon
- AWS CloudTrail controlli
- CloudWatch Controlli Amazon
- AWS CodeArtifact controlli
- AWS CodeBuild controlli
- AWS Config controlli
- Controlli Amazon Data Firehose
- Controlli Amazon Detective
- AWS Database Migration Service controlli
- Controlli Amazon DocumentDB
- Controlli Amazon DynamoDB
- Controlli di Amazon Elastic Container Registry
- Controlli Amazon ECS
- Controlli Amazon Elastic Compute Cloud
- Controlli di Amazon EC2 Auto Scaling
- Controlli di Amazon EC2 Systems Manager
- Controlli Amazon Elastic File System
- Controlli di Amazon Elastic Kubernetes Service
- ElastiCache Controlli Amazon
- AWS Elastic Beanstalk controlli
- Controlli Elastic Load Balancing
- Controlli Amazon EMR
- Controlli Elasticsearch
- EventBridge Controlli Amazon
- Controlli Amazon FSx
- AWS Global Accelerator controlli
- AWS Glue controlli
- GuardDuty Controlli Amazon
- AWS Identity and Access Management controlli
- AWS IoT controlli
- Controlli Amazon Kinesis
- AWS Key Management Service controlli
- AWS Lambda controlli
- Controlli Amazon Macie
- Controlli Amazon MSK
- Controlli Amazon MQ
- Controlli Amazon Neptune
- AWS Network Firewall controlli
- Controlli OpenSearch di Amazon Service
- AWS Private Certificate Authority controlli
- Controlli di Amazon Relational Database Service
- Controlli Amazon Redshift
- Controlli Amazon Route 53
- Controlli di Amazon Simple Storage Service
- SageMaker Controlli Amazon
- AWS Secrets Manager controlli
- AWS Service Catalog controlli
- Controlli di Amazon Simple Email Service
- Controlli di Amazon Simple Notification Service
- Controlli di Amazon Simple Queue Service
- AWS Step Functions controlli
- AWS Transfer Family controlli
- AWS WAF controlli
