Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Riferimento ai controlli del Security Hub
Questo riferimento ai controlli fornisce un elenco di AWS Security Hub controlli disponibili con collegamenti a ulteriori informazioni su ciascun controllo. La tabella riassuntiva mostra i controlli in ordine alfabetico in base all'ID del controllo. Qui sono inclusi solo i controlli in uso attivo da Security Hub. I controlli ritirati sono esclusi da questo elenco. La tabella fornisce le seguenti informazioni per ogni controllo:
-
ID del controllo di sicurezza: questo ID si applica a tutti gli standard Servizio AWS e indica la risorsa e a cui si riferisce il controllo. La console Security Hub mostra il controllo di sicurezzaIDs, indipendentemente dal fatto che i risultati del controllo consolidato siano attivati o disattivati nel tuo account. Tuttavia, i risultati del Security Hub fanno riferimento al controllo di sicurezza IDs solo se i risultati del controllo consolidato sono attivati nel tuo account. Se i risultati del controllo consolidato sono disattivati nel tuo account, alcuni controlli IDs variano in base allo standard dei risultati di controllo. Per una mappatura del controllo specifico dello standard IDs al controllo della sicurezza, consulta. IDs In che modo il consolidamento influisce sul controllo e sui titoli IDs
Se desideri configurare le automazioni per i controlli di sicurezza, ti consigliamo di filtrare in base all'ID del controllo anziché al titolo o alla descrizione. Sebbene Security Hub possa occasionalmente aggiornare i titoli o le descrizioni dei controlli, il controllo IDs rimane lo stesso.
Il controllo IDs può saltare i numeri. Si tratta di segnaposti per controlli futuri.
-
Standard applicabili: indica a quali standard si applica un controllo. Seleziona un controllo per visualizzare i requisiti specifici dei framework di conformità di terze parti.
-
Titolo del controllo di sicurezza: questo titolo si applica a tutti gli standard. La console Security Hub mostra i titoli dei controlli di sicurezza, indipendentemente dal fatto che i risultati del controllo consolidato siano attivati o disattivati nel tuo account. Tuttavia, i risultati del Security Hub fanno riferimento ai titoli dei controlli di sicurezza solo se nel tuo account è attivato il controllo consolidato. Se i risultati di controllo consolidati sono disattivati nel tuo account, alcuni titoli di controllo variano in base allo standard dei risultati di controllo. Per una mappatura del controllo specifico dello standard IDs al controllo di sicurezza, consulta. IDs In che modo il consolidamento influisce sul controllo e sui titoli IDs
-
Severità: la severità di un controllo ne identifica l'importanza dal punto di vista della sicurezza. Per informazioni su come Security Hub determina la gravità del controllo, vedereAssegnazione della gravità ai risultati del controllo.
-
Tipo di pianificazione: indica quando viene valutato il controllo. Per ulteriori informazioni, consulta Pianificazione dell'esecuzione dei controlli di sicurezza.
-
Supporta parametri personalizzati: indica se il controllo supporta valori personalizzati per uno o più parametri. Seleziona un controllo per visualizzare i dettagli dei parametri. Per ulteriori informazioni, consulta Comprensione dei parametri di controllo in Security Hub.
Seleziona un controllo per visualizzare ulteriori dettagli. I controlli sono elencati in ordine alfabetico del nome del servizio.
| ID del controllo di sicurezza | Titolo del controllo di sicurezza | Standard applicabili | Gravità | Supporta parametri personalizzati | Tipo di pianificazione |
|---|---|---|---|---|---|
| Account.1 | Le informazioni di contatto relative alla sicurezza devono essere fornite per un Account AWS | CIS AWS Foundations Benchmark v3.0.0, AWS Foundational Security Best Practices v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | Periodic (Periodico) | |
| Account.2 | Account AWS dovrebbe far parte di un'organizzazione AWS Organizations | NISTSP 800-53 Rev. 5 | HIGH | |
Periodic (Periodico) |
| ACM1. | I certificati ACM importati ed emessi devono essere rinnovati dopo un determinato periodo di tempo | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Modifica attivata e periodica |
| ACM2. | RSAi certificati gestiti da ACM devono utilizzare una lunghezza di chiave di almeno 2.048 bit | AWS Best practice di sicurezza di base v1.0.0 | HIGH | |
Modifica attivata |
| ACM3. | ACMi certificati devono essere etichettati | AWS Standard di etichettatura delle risorse | LOW | Modifica attivata | |
| APIGateway1. | APIIl gateway REST e la registrazione WebSocket API dell'esecuzione devono essere abilitati | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Modifica attivata |
| APIGateway2. | APIRESTAPILe fasi del gateway devono essere configurate per utilizzare i SSL certificati per l'autenticazione del backend | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Modifica attivata |
| APIGateway3. | APIRESTAPILe fasi del gateway devono avere il AWS X-Ray tracciamento abilitato | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | LOW | |
Modifica attivata |
| APIGateway4. | APIIl gateway deve essere associato a un sito Web WAF ACL | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Modifica attivata |
| APIGateway5. | APII dati REST API della cache del gateway devono essere crittografati quando sono inattivi | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Modifica attivata |
| APIGateway8. | APILe rotte gateway devono specificare un tipo di autorizzazione | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Periodic (Periodico) |
| APIGateway9. | La registrazione degli accessi deve essere configurata per API Gateway V2 Stages | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Modifica attivata |
| AppSync2. | AWS AppSync dovrebbe avere la registrazione a livello di campo abilitata | AWS Best practice di sicurezza di base v1.0.0 | MEDIUM | |
Modifica attivata |
| AppSync4. | AWS AppSync GraphQL APIs dovrebbe essere taggato | AWS Standard di etichettatura delle risorse | LOW | Modifica attivata | |
| AppSync5. | AWS AppSync GraphQL non APIs deve essere autenticato con chiavi API | AWS Best practice di sicurezza di base v1.0.0, SP 800-53 Rev. 5 NIST | HIGH | |
Modifica attivata |
| Atena.2 | I cataloghi di dati Athena devono essere etichettati | AWS Standard di etichettatura delle risorse | LOW | Modifica attivata | |
| Atena.3 | I gruppi di lavoro Athena devono essere etichettati | AWS Standard di etichettatura delle risorse | LOW | Modifica attivata | |
| Atena.4 | I gruppi di lavoro Athena devono avere la registrazione abilitata | AWS Best practice di sicurezza di base v1.0.0 | MEDIUM | Modifica attivata | |
| AutoScaling1. | I gruppi di Auto Scaling associati a un sistema di bilanciamento del carico devono utilizzare controlli di integrità ELB | AWS Buone pratiche di sicurezza di base v1.0.0, Service-Managed Standard:, v3.2.1, SP 800-53 Rev. 5 AWS Control Tower PCI DSS NIST | LOW | Modifica attivata | |
| AutoScaling2. | Il gruppo Amazon EC2 Auto Scaling dovrebbe coprire più zone di disponibilità | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Modifica attivata |
| AutoScaling3. | Le configurazioni di avvio del gruppo Auto Scaling devono configurare le EC2 istanze in modo da richiedere Instance Metadata Service versione 2 () IMDSv2 | AWS Buone pratiche di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | HIGH | |
Modifica attivata |
| Autoscaling.5 | EC2Le istanze Amazon avviate utilizzando le configurazioni di avvio del gruppo Auto Scaling non devono avere indirizzi IP pubblici | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | HIGH | |
Modifica attivata |
| AutoScaling6. | I gruppi di Auto Scaling devono utilizzare più tipi di istanze in più zone di disponibilità | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Modifica attivata |
| AutoScaling9. | EC2I gruppi di Auto Scaling devono utilizzare EC2 modelli di avvio | AWS Buone pratiche di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Modifica attivata |
| AutoScaling.10 | EC2I gruppi Auto Scaling devono essere etichettati | AWS Standard di etichettatura delle risorse | LOW | Modifica attivata | |
| Backup.1 | AWS Backup i punti di ripristino devono essere crittografati quando sono inattivi | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Modifica attivata |
| Backup.2 | AWS Backup i punti di ripristino devono essere etichettati | AWS Standard di etichettatura delle risorse | LOW | Modifica attivata | |
| Backup.3 | AWS Backup le casseforti devono essere etichettate | AWS Standard di etichettatura delle risorse | LOW | Modifica attivata | |
| Backup.4 | AWS Backup i piani di segnalazione devono essere etichettati | AWS Standard di etichettatura delle risorse | LOW | Modifica attivata | |
| Backup.5 | AWS Backup i piani di backup devono essere etichettati | AWS Standard di etichettatura delle risorse | LOW | Modifica attivata | |
| CloudFormation2. | CloudFormation le pile devono essere etichettate | AWS Standard di etichettatura delle risorse | LOW | Modifica attivata | |
| CloudFront1. | CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato | AWS Best practice di sicurezza di base v1.0.0, SP 800-53 Rev. 5 NIST | HIGH | Modifica attivata | |
| CloudFront3. | CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito | AWS Best practice di sicurezza di base v1.0.0, SP 800-53 Rev. 5 NIST | MEDIUM | |
Modifica attivata |
| CloudFront4. | CloudFront le distribuzioni devono avere il failover di origine configurato | AWS Best practice di sicurezza di base v1.0.0, SP 800-53 Rev. 5 NIST | LOW | |
Modifica attivata |
| CloudFront5. | CloudFront le distribuzioni dovrebbero avere la registrazione abilitata | AWS Best practice di sicurezza di base v1.0.0, SP 800-53 Rev. 5 NIST | MEDIUM | |
Modifica attivata |
| CloudFront6. | CloudFront le distribuzioni avrebbero dovuto essere abilitate WAF | AWS Best practice di sicurezza di base v1.0.0, SP 800-53 Rev. 5 NIST | MEDIUM | |
Modifica attivata |
| CloudFront7. | CloudFront le distribuzioni devono utilizzare certificati/personalizzati SSL TLS | AWS Best practice di sicurezza di base v1.0.0, SP 800-53 Rev. 5 NIST | MEDIUM | |
Modifica attivata |
| CloudFront8. | CloudFront le distribuzioni dovrebbero utilizzare SNI per soddisfare le richieste HTTPS | AWS Best practice di sicurezza di base v1.0.0, SP 800-53 Rev. 5 NIST | LOW | |
Modifica attivata |
| CloudFront9. | CloudFront le distribuzioni dovrebbero crittografare il traffico verso origini personalizzate | AWS Best practice di sicurezza di base v1.0.0, SP 800-53 Rev. 5 NIST | MEDIUM | |
Modifica attivata |
| CloudFront.10 | CloudFront le distribuzioni non devono utilizzare SSL protocolli obsoleti tra edge location e origini personalizzate | AWS Best practice di sicurezza di base v1.0.0, SP 800-53 Rev. 5 NIST | MEDIUM | |
Modifica attivata |
| CloudFront1.2 | CloudFront le distribuzioni non devono puntare a origini S3 inesistenti | AWS Best practice di sicurezza di base v1.0.0, SP 800-53 Rev. 5 NIST | HIGH | |
Periodic (Periodico) |
| CloudFront1.3 | CloudFront le distribuzioni dovrebbero utilizzare il controllo dell'accesso all'origine | AWS Migliori pratiche di sicurezza di base v1.0.0 | MEDIUM | |
Modifica attivata |
| CloudFront1.4 | CloudFront le distribuzioni devono essere etichettate | AWS Standard di etichettatura delle risorse | LOW | Modifica attivata | |
| CloudTrail1. | CloudTrail deve essere abilitato e configurato con almeno un percorso multiregionale che includa eventi di gestione di lettura e scrittura | CIS AWS Foundations Benchmark v3.0.0, Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, CIS AWS AWS Foundational Security Best Practices v1.0.0, Service-Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | HIGH | Periodic (Periodico) | |
| CloudTrail2. | CloudTrail dovrebbe avere la crittografia a riposo abilitata | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.2.0, AWS Foundational Security Best Practices v1.0.0, Service Managed Standard:, v3.2.1, Foundations Benchmark v1.4.0, SP 800-53 Rev. 5 AWS Control Tower PCI DSS CIS AWS NIST | MEDIUM | |
Periodic (Periodico) |
| CloudTrail3. | Almeno un CloudTrail percorso deve essere abilitato | PCIDSSv3.2.1 | HIGH | Periodic (Periodico) | |
| CloudTrail4. | CloudTrail la convalida dei file di registro deve essere abilitata | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.2.0, AWS Foundational Security Best Practices v1.0.0, Service Managed Standard:, v3.2.1, Foundations Benchmark v1.4.0, SP 800-53 Rev. 5 AWS Control Tower PCI DSS CIS AWS NIST | LOW | |
Periodic (Periodico) |
| CloudTrail5. | CloudTrail i trail devono essere integrati con Amazon CloudWatch Logs | CIS AWS Foundations Benchmark v1.2.0, AWS Foundational Security Best Practices v1.0.0, Service-Managed Standard:, v3.2.1, Foundations Benchmark v1.4.0, SP 800-53 Rev. AWS Control Tower 5 PCI DSS CIS AWS NIST | LOW | |
Periodic (Periodico) |
| CloudTrail6. | Assicurati che il bucket S3 utilizzato per archiviare i CloudTrail log non sia accessibile al pubblico | CIS AWS Foundations Benchmark v1.2.0, Foundations Benchmark v1.4.0 CIS AWS | CRITICAL | |
Modifica attivata e periodica |
| CloudTrail7. | Assicurati che la registrazione degli accessi al bucket S3 sia abilitata sul bucket S3 CloudTrail | CIS AWS Foundations Benchmark v3.0.0, Foundations Benchmark v1.2.0, Foundations Benchmark v1.4.0 CIS AWS CIS AWS | LOW | |
Periodic (Periodico) |
| CloudTrail9. | CloudTrail i sentieri devono essere etichettati | AWS Standard di etichettatura delle risorse | LOW | Modifica attivata | |
| CloudWatch1. | Dovrebbero esistere un filtro logmetrico e un allarme per l'utilizzo da parte dell'utente «root» | CIS AWS Foundations Benchmark v1.2.0, v3.2.1, Foundations Benchmark PCI DSS v1.4.0 CIS AWS | LOW | |
Periodic (Periodico) |
| CloudWatch2. | Assicurati che esistano un registro, un filtro metrico e un allarme per le chiamate non autorizzate API | CIS AWS Foundations Benchmark v1.2.0 | LOW | |
Periodic (Periodico) |
| CloudWatch3. | Assicurati che esistano un filtro metrico di registro e un allarme per l'accesso alla Console di gestione senza MFA | CIS AWS Foundations Benchmark v1.2.0 | LOW | |
Periodic (Periodico) |
| CloudWatch4. | Assicurati che esistano un filtro metrico di registro e un allarme per le IAM modifiche alle politiche | CIS AWS Foundations Benchmark v1.2.0, Foundations Benchmark v1.4.0 CIS AWS | LOW | |
Periodic (Periodico) |
| CloudWatch5. | Assicurati che esistano un filtro metrico di registro e un allarme per le CloudTrail modifiche alla configurazione | CIS AWS Foundations Benchmark v1.2.0, Foundations Benchmark v1.4.0 CIS AWS | LOW | |
Periodic (Periodico) |
| CloudWatch6.6 | Assicurati che esistano un filtro metrico di registro e un allarme per gli AWS Management Console errori di autenticazione | CIS AWS Foundations Benchmark v1.2.0, Foundations Benchmark v1.4.0 CIS AWS | LOW | |
Periodic (Periodico) |
| CloudWatch7. | Assicurati che esistano un registro, un filtro metrico e un allarme per la disabilitazione o la cancellazione programmata dei dati creati dal cliente CMKs | CIS AWS Foundations Benchmark v1.2.0, Foundations Benchmark v1.4.0 CIS AWS | LOW | |
Periodic (Periodico) |
| CloudWatch8. | Verifica se esistono un filtro e un allarme per le metriche dei log relativamente alle modifiche apportate alle policy dei bucket S3 | CIS AWS Foundations Benchmark v1.2.0, Foundations Benchmark v1.4.0 CIS AWS | LOW | |
Periodic (Periodico) |
| CloudWatch9. | Assicurati che esistano un filtro metrico di registro e un allarme per le AWS Config modifiche alla configurazione | CIS AWS Foundations Benchmark v1.2.0, Foundations Benchmark v1.4.0 CIS AWS | LOW | |
Periodic (Periodico) |
| CloudWatch.10 | Verifica se esistono un filtro e un allarme per le metriche dei log relativamente alle modifiche apportate al gruppo di sicurezza | CIS AWS Foundations Benchmark v1.2.0, Foundations Benchmark v1.4.0 CIS AWS | LOW | |
Periodic (Periodico) |
| CloudWatch1.1 | Assicurati che esistano un filtro metrico di registro e un allarme per le modifiche agli elenchi di controllo degli accessi alla rete () NACL | CIS AWS Foundations Benchmark v1.2.0, Foundations Benchmark v1.4.0 CIS AWS | LOW | |
Periodic (Periodico) |
| CloudWatch1.2 | Verifica se esistono un filtro e un allarme per le metriche dei log relativamente alle modifiche apportate ai gateway di rete | CIS AWS Foundations Benchmark v1.2.0, Foundations Benchmark v1.4.0 CIS AWS | LOW | |
Periodic (Periodico) |
| CloudWatch1.3 | Verifica se esistono un filtro e un allarme per le metriche dei log relativamente alle modifiche apportate alle tabelle di routing | CIS AWS Foundations Benchmark v1.2.0, Foundations Benchmark v1.4.0 CIS AWS | LOW | |
Periodic (Periodico) |
| CloudWatch1.4 | Assicurati che esistano un filtro logmetrico e un allarme per le modifiche VPC | CIS AWS Foundations Benchmark v1.2.0, Foundations Benchmark v1.4.0 CIS AWS | LOW | |
Periodic (Periodico) |
| CloudWatch1.5 | CloudWatch gli allarmi dovrebbero avere azioni specificate configurate | NISTSP 800-53 Rev. 5 | HIGH | |
Modifica attivata |
| CloudWatch1.6 | CloudWatch i gruppi di log devono essere conservati per un periodo di tempo specificato | NISTSP 800-53 Rev. 5 | MEDIUM | |
Periodic (Periodico) |
| CloudWatch.17 | CloudWatch le azioni di allarme devono essere abilitate | NISTSP 800-53 Rev. 5 | HIGH | |
Modifica attivata |
| CodeArtifact1. | CodeArtifact i repository devono essere etichettati | AWS Standard di etichettatura delle risorse | LOW | Modifica attivata | |
| CodeBuild1. | CodeBuild L'archivio dei sorgenti di Bitbucket non URLs deve contenere credenziali riservate | AWS Best practice di sicurezza di base v1.0.0, Service-Managed Standard:, v3.2.1, SP 800-53 Rev. 5 AWS Control Tower PCI DSS NIST | CRITICAL | Modifica attivata | |
| CodeBuild2. | CodeBuild le variabili di ambiente del progetto non devono contenere credenziali di testo non crittografato | AWS Best practice di sicurezza di base v1.0.0, Service-Managed Standard: AWS Control Tower, v3.2.1, SP 800-53 Rev. 5 PCI DSS NIST | CRITICAL | |
Modifica attivata |
| CodeBuild3. | CodeBuild I log di S3 devono essere crittografati | AWS Buone pratiche di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | LOW | |
Modifica attivata |
| CodeBuild4. | CodeBuild gli ambienti di progetto dovrebbero avere una configurazione di registrazione | AWS Buone pratiche di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Modifica attivata |
| CodeBuild7. | CodeBuild le esportazioni dei gruppi di report devono essere crittografate quando sono inattive | AWS Best practice di sicurezza di base v1.0.0 | MEDIUM | Modifica attivata | |
| Config.1 | AWS Config deve essere abilitato e utilizzare il ruolo collegato al servizio per la registrazione delle risorse | CIS AWS Foundations Benchmark v3.0.0, Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundational Security Best Practices v1.0.0, SP 800-53 Rev. 5, AWS v3.2.1 NIST PCI DSS | MEDIUM | Periodic (Periodico) | |
| DataFirehose.1 | I flussi di distribuzione di Firehose devono essere crittografati quando sono inattivi | AWS Best practice di sicurezza di base v1.0.0, SP 800-53 Rev. 5 NIST | MEDIUM | |
Periodic (Periodico) |
| DataSync1. | DataSync le attività devono avere la registrazione abilitata | AWS Best practice di sicurezza di base v1.0.0 | MEDIUM | Modifica attivata | |
| Detective. 1 | I grafici del comportamento dei Detective devono essere etichettati | AWS Standard di etichettatura delle risorse | LOW | Modifica attivata | |
| DMS1. | Le istanze di replica del Database Migration Service non devono essere pubbliche | AWS Best practice di sicurezza di base v1.0.0, Service-Managed Standard:, v3.2.1, SP 800-53 Rev. 5 AWS Control Tower PCI DSS NIST | CRITICAL | |
Periodic (Periodico) |
| DMS2. | DMSi certificati devono essere etichettati | AWS Standard di etichettatura delle risorse | LOW | Modifica attivata | |
| DMS3. | DMSle sottoscrizioni agli eventi devono essere contrassegnate | AWS Standard di etichettatura delle risorse | LOW | Modifica attivata | |
| DMS4. | DMSle istanze di replica devono essere etichettate | AWS Standard di etichettatura delle risorse | LOW | Modifica attivata | |
| DMS5. | DMSi gruppi di sottoreti di replica devono essere etichettati | AWS Standard di etichettatura delle risorse | LOW | Modifica attivata | |
| DMS6. | DMSle istanze di replica devono avere l'aggiornamento automatico delle versioni secondarie abilitato | AWS Best practice di sicurezza di base v1.0.0, SP 800-53 Rev. 5 NIST | MEDIUM | |
Modifica attivata |
| DMS7. | DMSle attività di replica per il database di destinazione devono avere la registrazione abilitata | AWS Best practice di sicurezza di base v1.0.0, SP 800-53 Rev. 5 NIST | MEDIUM | |
Modifica attivata |
| DMS8. | DMSle attività di replica per il database di origine devono avere la registrazione abilitata | AWS Best practice di sicurezza di base v1.0.0, SP 800-53 Rev. 5 NIST | MEDIUM | |
Modifica attivata |
| DMS9. | DMSgli endpoint dovrebbero usare SSL | AWS Best practice di sicurezza di base v1.0.0, SP 800-53 Rev. 5 NIST | MEDIUM | |
Modifica attivata |
| DMS.10 | DMSgli endpoint per i database Neptune devono avere l'autorizzazione abilitata IAM | AWS Best practice di sicurezza di base v1.0.0, SP 800-53 Rev. 5 NIST | MEDIUM | Modifica attivata | |
| DMS.11 | DMSgli endpoint per MongoDB dovrebbero avere un meccanismo di autenticazione abilitato | AWS Best practice di sicurezza di base v1.0.0, SP 800-53 Rev. 5 NIST | MEDIUM | Modifica attivata | |
| DMS1.2 | DMSgli endpoint per Redis OSS avrebbero dovuto essere abilitati TLS | AWS Best practice di sicurezza di base v1.0.0, SP 800-53 Rev. 5 NIST | MEDIUM | Modifica attivata | |
| Documento DB.1 | I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, Service Managed Standard: AWS Control Tower | MEDIUM | |
Modifica attivata |
| Documento DB.2 | I cluster Amazon DocumentDB devono avere un periodo di conservazione dei backup adeguato | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, Service Managed Standard: AWS Control Tower | MEDIUM | |
Modifica attivata |
| Documento DB.3 | Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche | AWS Best practice di sicurezza di base v1.0.0, SP 800-53 Rev. 5 NIST | CRITICAL | |
Modifica attivata |
| Documento DB.4 | I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch | AWS Best practice di sicurezza di base v1.0.0, SP 800-53 Rev. 5 NIST | MEDIUM | |
Modifica attivata |
| Documento DB.5 | I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata | AWS Best practice di sicurezza di base v1.0.0, SP 800-53 Rev. 5 NIST | MEDIUM | |
Modifica attivata |
| DynamoDB.1 | Le tabelle DynamoDB dovrebbero scalare automaticamente la capacità in base alla domanda | AWS Buone pratiche di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Periodic (Periodico) |
| DynamoDB.2 | Le tabelle DynamoDB devono avere il ripristino abilitato point-in-time | AWS Buone pratiche di sicurezza di base v1.0.0, Service-Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Modifica attivata |
| DynamoDB.3 | I cluster DynamoDB Accelerator DAX () devono essere crittografati quando sono inattivi | AWS Best practice di sicurezza di base v1.0.0, SP 800-53 Rev. 5 NIST | MEDIUM | |
Periodic (Periodico) |
| Dynamo DB.4 | Le tabelle DynamoDB devono essere presenti in un piano di backup | NISTSP 800-53 Rev. 5 | MEDIUM | |
Periodic (Periodico) |
| Dynamo DB.5 | Le tabelle DynamoDB devono essere etichettate | AWS Standard di etichettatura delle risorse | LOW | Modifica attivata | |
| Dynamo DB.6 | Le tabelle DynamoDB devono avere la protezione da eliminazione abilitata | AWS Buone pratiche di sicurezza di base v1.0.0, SP 800-53 Rev. 5 NIST | MEDIUM | |
Modifica attivata |
| Dynamo DB.7 | I cluster DynamoDB Accelerator devono essere crittografati in transito | AWS Best practice di sicurezza di base v1.0.0, SP 800-53 Rev. 5 NIST | MEDIUM | Periodic (Periodico) | |
| EC21. | EBSle istantanee non devono essere ripristinabili pubblicamente | AWS Best practice di sicurezza di base v1.0.0, Service-Managed Standard:, v3.2.1, SP 800-53 Rev. 5 AWS Control Tower PCI DSS NIST | CRITICAL | |
Periodic (Periodico) |
| EC22. | VPCi gruppi di sicurezza predefiniti non dovrebbero consentire il traffico in entrata o in uscita | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.2.0, AWS Foundational Security Best Practices v1.0.0, Service Managed Standard:, v3.2.1, Foundations Benchmark v1.4.0, SP 800-53 Rev. 5 AWS Control Tower PCI DSS CIS AWS NIST | HIGH | |
Modifica attivata |
| EC23. | EBSI volumi allegati devono essere crittografati quando sono inattivi | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Modifica attivata |
| EC24. | EC2Le istanze interrotte devono essere rimosse dopo un periodo di tempo specificato | AWS Buone pratiche di sicurezza di base v1.0.0, Service-Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Periodic (Periodico) |
| EC26. | VPCla registrazione del flusso dovrebbe essere abilitata in tutto VPCs | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.2.0, AWS Foundational Security Best Practices v1.0.0, Service Managed Standard:, v3.2.1, Foundations Benchmark v1.4.0, SP 800-53 Rev. 5 AWS Control Tower PCI DSS CIS AWS NIST | MEDIUM | |
Periodic (Periodico) |
| EC27. | EBSla crittografia predefinita deve essere abilitata | CIS AWS Foundations Benchmark v3.0.0, AWS Foundational Security Best Practices v1.0.0, Service Managed Standard:, Foundations Benchmark v1.4.0, SP 800-53 Rev. 5 AWS Control Tower CIS AWS NIST | MEDIUM | |
Periodic (Periodico) |
| EC28. | EC2le istanze devono utilizzare Instance Metadata Service Version 2 () IMDSv2 | CIS AWS Foundations Benchmark v3.0.0, AWS Foundational Security Best Practices v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | HIGH | |
Modifica attivata |
| EC29. | EC2le istanze non devono avere un indirizzo pubblico IPv4 | AWS Buone pratiche di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | HIGH | |
Modifica attivata |
| EC2.10 | Amazon EC2 deve essere configurato per utilizzare VPC gli endpoint creati per il servizio AmazonEC2. | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Periodic (Periodico) |
| EC21.2 | Non utilizzato EC2 EIPs deve essere rimosso | PCIDSSv3.2.1, NIST SP 800-53 Rev. 5 | LOW | |
Modifica attivata |
| EC21.3 | I gruppi di sicurezza non dovrebbero consentire l'accesso da 0.0.0.0/0 o: :/0 alla porta 22 | CIS AWS Foundations Benchmark v1.2.0, v3.2.1, SP 800-53 Rev. 5 PCI DSS NIST | HIGH | Modifica attivata e periodica | |
| EC21.4 | I gruppi di sicurezza non dovrebbero consentire l'accesso da 0.0.0.0/0 o: :/0 alla porta 3389 | CIS AWS Foundations Benchmark v1.2.0 | HIGH | Modifica attivata e periodica | |
| EC21.5 | EC2le sottoreti non devono assegnare automaticamente indirizzi IP pubblici | AWS Buone pratiche di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Modifica attivata |
| EC21.6 | Gli elenchi di controllo degli accessi alla rete non utilizzati devono essere rimossi | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | LOW | |
Modifica attivata |
| EC21.7 | EC2le istanze non devono utilizzare più ENIs | AWS Buone pratiche di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | LOW | |
Modifica attivata |
| EC21.8 | I gruppi di sicurezza dovrebbero consentire il traffico in entrata senza restrizioni solo per le porte autorizzate | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | HIGH | |
Modifica attivata |
| EC2.19 | I gruppi di sicurezza non dovrebbero consentire l'accesso illimitato ai porti ad alto rischio | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | CRITICAL | Modifica attivata e periodica | |
| EC22.0 | Entrambi i VPN tunnel per la AWS Site-to-Site VPN connessione dovrebbero essere attivi | AWS Buone pratiche di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Modifica attivata |
| EC22.1 | La rete non ACLs dovrebbe consentire l'ingresso dalla porta 0.0.0.0/0 alla porta 22 o alla porta 3389 | CIS AWS Foundations Benchmark v3.0.0, Foundations Benchmark v1.4.0, CIS AWS Foundational Security Best Practices v1.0.0, Service Managed Standard:, SP 800-53 Rev. AWS 5 AWS Control Tower NIST | MEDIUM | |
Modifica attivata |
| EC22.2 | I gruppi di EC2 sicurezza non utilizzati devono essere rimossi | Standard gestito dai servizi: AWS Control Tower | MEDIUM | Periodic (Periodico) | |
| EC22.3 | EC2I Transit Gateway non dovrebbero accettare VPC automaticamente le richieste di allegati | AWS Best practice di sicurezza di base v1.0.0, SP 800-53 Rev. 5 NIST | HIGH | |
Modifica attivata |
| EC22.4 | EC2i tipi di istanze paravirtuali non devono essere utilizzati | AWS Best practice di sicurezza di base v1.0.0, SP 800-53 Rev. 5 NIST | MEDIUM | |
Modifica attivata |
| EC22.5 | EC2i modelli di avvio non devono assegnare interfacce pubbliche IPs alle interfacce di rete | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | HIGH | |
Modifica attivata |
| EC22.8 | EBSi volumi devono essere inclusi in un piano di backup | NISTSP 800-53 Rev. 5 | LOW | |
Periodic (Periodico) |
| EC2.33 | EC2gli allegati del gateway di transito devono essere etichettati | AWS Standard di etichettatura delle risorse | LOW | Modifica attivata | |
| EC23.4 | EC2le tabelle delle rotte del gateway di transito devono essere etichettate | AWS Standard di etichettatura delle risorse | LOW | Modifica attivata | |
| EC23.5 | EC2le interfacce di rete devono essere etichettate | AWS Standard di etichettatura delle risorse | LOW | Modifica attivata | |
| EC23.6 | EC2i gateway per i clienti devono essere etichettati | AWS Standard di etichettatura delle risorse | LOW | Modifica attivata | |
| EC23.7 | EC2Gli indirizzi IP elastici devono essere etichettati | AWS Standard di etichettatura delle risorse | LOW | Modifica attivata | |
| EC23.8 | EC2le istanze devono essere etichettate | AWS Standard di etichettatura delle risorse | LOW | Modifica attivata | |
| EC2.39 | EC2i gateway internet devono essere etichettati | AWS Standard di etichettatura delle risorse | LOW | Modifica attivata | |
| EC2.40 | EC2NATi gateway devono essere etichettati | AWS Standard di etichettatura delle risorse | LOW | Modifica attivata | |
| EC24.1 | EC2la rete ACLs deve essere etichettata | AWS Standard di etichettatura delle risorse | LOW | Modifica attivata | |
| EC24.2 | EC2le tabelle delle rotte devono essere etichettate | AWS Standard di etichettatura delle risorse | LOW | Modifica attivata | |
| EC24.3 | EC2i gruppi di sicurezza devono essere etichettati | AWS Standard di etichettatura delle risorse | LOW | Modifica attivata | |
| EC24.4 | EC2le sottoreti devono essere etichettate | AWS Standard di etichettatura delle risorse | LOW | Modifica attivata | |
| EC2.45 | EC2i volumi devono essere etichettati | AWS Standard di etichettatura delle risorse | LOW | Modifica attivata | |
| EC24.6 | Amazon VPCs dovrebbe essere taggato | AWS Standard di etichettatura delle risorse | LOW | Modifica attivata | |
| EC24.7 | I servizi VPC endpoint di Amazon devono essere etichettati | AWS Standard di etichettatura delle risorse | LOW | Modifica attivata | |
| EC24.8 | I log VPC di flusso di Amazon devono essere etichettati | AWS Standard di etichettatura delle risorse | LOW | Modifica attivata | |
| EC24.9 | Le connessioni VPC peering di Amazon devono essere contrassegnate | AWS Standard di etichettatura delle risorse | LOW | Modifica attivata | |
| EC2.50 | EC2VPNi gateway devono essere etichettati | AWS Standard di etichettatura delle risorse | LOW | Modifica attivata | |
| EC25.1 | EC2VPNGli endpoint client devono avere la registrazione delle connessioni client abilitata | AWS Best practice di sicurezza di base v1.0.0, SP 800-53 Rev. 5 NIST | LOW | |
Modifica attivata |
| EC25.2 | EC2i gateway di transito devono essere etichettati | AWS Standard di etichettatura delle risorse | LOW | Modifica attivata | |
| EC25.3 | EC2i gruppi di sicurezza non dovrebbero consentire l'accesso da 0.0.0.0/0 alle porte di amministrazione remota del server | CIS AWS Foundations Benchmark v3.0.0 | HIGH | Periodic (Periodico) | |
| EC25.4 | EC2i gruppi di sicurezza non dovrebbero consentire l'accesso da: :/0 alle porte di amministrazione remota del server | CIS AWS Foundations Benchmark v3.0.0 | HIGH | Periodic (Periodico) | |
| ECR1. | ECRi repository privati dovrebbero avere la scansione delle immagini configurata | AWS Buone pratiche di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | HIGH | |
Periodic (Periodico) |
| ECR2. | ECRi repository privati dovrebbero avere l'immutabilità dei tag configurata | AWS Buone pratiche di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Modifica attivata |
| ECR3. | ECRi repository devono avere almeno una politica del ciclo di vita configurata | AWS Best practice di sicurezza di base v1.0.0, Service-Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Modifica attivata |
| ECR4. | ECRgli archivi pubblici devono essere etichettati | AWS Standard di etichettatura delle risorse | LOW | Modifica attivata | |
| ECS1. | Le definizioni delle ECS attività di Amazon devono avere modalità di rete e definizioni utente sicure. | AWS Buone pratiche di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | HIGH | |
Modifica attivata |
| ECS2. | ECSai servizi non dovrebbero essere assegnati automaticamente indirizzi IP pubblici | AWS Buone pratiche di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | HIGH | |
Modifica attivata |
| ECS3. | ECSle definizioni delle attività non devono condividere lo spazio dei nomi del processo dell'host | AWS Buone pratiche di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | HIGH | |
Modifica attivata |
| ECS4. | ECSi contenitori devono funzionare come non privilegiati | AWS Buone pratiche di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | HIGH | |
Modifica attivata |
| ECS5. | ECSi contenitori dovrebbero essere limitati all'accesso in sola lettura ai filesystem root | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | HIGH | |
Modifica attivata |
| ECS8. | I segreti non devono essere passati come variabili di ambiente del contenitore | AWS Buone pratiche di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | HIGH | |
Modifica attivata |
| ECS9. | ECSle definizioni delle attività dovrebbero avere una configurazione di registrazione | AWS Best practice di sicurezza di base v1.0.0, SP 800-53 Rev. 5 NIST | HIGH | |
Modifica attivata |
| ECS.10 | ECSI servizi Fargate devono essere eseguiti sulla versione più recente della piattaforma Fargate | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Modifica attivata |
| ECS1.2 | ECSi cluster devono utilizzare Container Insights | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Modifica attivata |
| ECS1.3 | ECSi servizi devono essere etichettati | AWS Standard di etichettatura delle risorse | LOW | Modifica attivata | |
| ECS1.4 | ECSi cluster devono essere etichettati | AWS Standard di etichettatura delle risorse | LOW | Modifica attivata | |
| ECS.15 | ECSle definizioni delle attività devono essere etichettate | AWS Standard di etichettatura delle risorse | LOW | Modifica attivata | |
| ECS1.6 | ECSi set di attività non devono assegnare automaticamente indirizzi IP pubblici | AWS Best practice di sicurezza di base v1.0.0 | HIGH | Modifica attivata | |
| EFS1. | Elastic File System deve essere configurato per crittografare i dati dei file archiviati utilizzando AWS KMS | CIS AWS Foundations Benchmark v3.0.0, AWS Foundational Security Best Practices v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Periodic (Periodico) |
| EFS.2 | EFSI volumi Amazon devono essere inclusi nei piani di backup | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Periodic (Periodico) |
| EFS3. | EFSi punti di accesso devono applicare una directory principale | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Modifica attivata |
| EFS4. | EFSi punti di accesso dovrebbero imporre l'identità di un utente | AWS Buone pratiche di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Modifica attivata |
| EFS5. | EFSi punti di accesso devono essere etichettati | AWS Standard di etichettatura delle risorse | LOW | Modifica attivata | |
| EFS6. | EFSi mount target non devono essere associati a una sottorete pubblica | AWS Migliori pratiche di sicurezza di base v1.0.0 | MEDIUM | Periodic (Periodico) | |
| EFS7. | EFSi file system dovrebbero avere i backup automatici abilitati | AWS Best practice di sicurezza di base v1.0.0 | MEDIUM | Modifica attivata | |
| EKS1. | EKSgli endpoint del cluster non dovrebbero essere accessibili al pubblico | AWS Best practice di sicurezza di base v1.0.0, SP 800-53 Rev. 5 NIST | HIGH | |
Periodic (Periodico) |
| EKS2. | EKSi cluster devono essere eseguiti su una versione di Kubernetes supportata | AWS Buone pratiche di sicurezza di base v1.0.0, Service-Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | HIGH | |
Modifica attivata |
| EKS3. | EKSi cluster devono utilizzare segreti Kubernetes criptati | AWS Best practice di sicurezza di base v1.0.0, SP 800-53 Rev. 5 NIST | MEDIUM | Periodic (Periodico) | |
| EKS6. | EKSi cluster devono essere etichettati | AWS Standard di etichettatura delle risorse | LOW | Modifica attivata | |
| EKS7. | EKSle configurazioni dei provider di identità devono essere etichettate | AWS Standard di etichettatura delle risorse | LOW | Modifica attivata | |
| EKS8. | EKSi cluster dovrebbero avere la registrazione di controllo abilitata | AWS Best practice di sicurezza di base v1.0.0, SP 800-53 Rev. 5 NIST | MEDIUM | |
Modifica attivata |
| ElastiCache1. | ElastiCache I cluster (RedisOSS) devono avere i backup automatici abilitati | AWS Best practice di sicurezza di base v1.0.0, SP 800-53 Rev. 5 NIST | HIGH | |
Periodic (Periodico) |
| ElastiCache2. | ElastiCache i cluster (RedisOSS) dovrebbero avere abilitati gli aggiornamenti automatici delle versioni secondarie | AWS Best practice di sicurezza di base v1.0.0, SP 800-53 Rev. 5 NIST | HIGH | |
Periodic (Periodico) |
| ElastiCache3. | ElastiCache i gruppi di replica devono avere il failover automatico abilitato | AWS Best practice di sicurezza di base v1.0.0, SP 800-53 Rev. 5 NIST | MEDIUM | |
Periodic (Periodico) |
| ElastiCache4. | ElastiCache i gruppi di replica dovrebbero essere encrypted-at-rest | AWS Best practice di sicurezza di base v1.0.0, SP 800-53 Rev. 5 NIST | MEDIUM | |
Periodic (Periodico) |
| ElastiCache5. | ElastiCache i gruppi di replica dovrebbero essere encrypted-in-transit | AWS Best practice di sicurezza di base v1.0.0, SP 800-53 Rev. 5 NIST | MEDIUM | |
Periodic (Periodico) |
| ElastiCache6. | ElastiCache (RedisOSS) i gruppi di replica delle versioni precedenti devono avere Redis abilitato OSS AUTH | AWS Best practice di sicurezza di base v1.0.0, SP 800-53 Rev. 5 NIST | MEDIUM | |
Periodic (Periodico) |
| ElastiCache7. | ElastiCache i cluster non devono utilizzare il gruppo di sottoreti predefinito | AWS Best practice di sicurezza di base v1.0.0, SP 800-53 Rev. 5 NIST | HIGH | |
Periodic (Periodico) |
| ElasticBeanstalk1. | Gli ambienti Elastic Beanstalk dovrebbero avere la reportistica sanitaria avanzata abilitata | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | LOW | |
Modifica attivata |
| ElasticBeanstalk2. | Gli aggiornamenti della piattaforma gestita da Elastic Beanstalk devono essere abilitati | AWS Buone pratiche di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | HIGH | |
Modifica attivata |
| ElasticBeanstalk3. | Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch | AWS Migliori pratiche di sicurezza di base v1.0.0 | HIGH | |
Modifica attivata |
| ELB1. | Application Load Balancer deve essere configurato per reindirizzare tutte le richieste a HTTP HTTPS | AWS Buone pratiche di sicurezza di base v1.0.0, Service-Managed Standard:, v3.2.1, SP 800-53 Rev. 5 AWS Control Tower PCI DSS NIST | MEDIUM | |
Periodic (Periodico) |
| ELB2. | I sistemi di bilanciamento del carico classici conSSL/HTTPSlistener devono utilizzare un certificato fornito da AWS Certificate Manager | AWS Buone pratiche di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Modifica attivata |
| ELB3. | I listener Classic Load Balancer devono essere configurati con o terminazione HTTPS TLS | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Modifica attivata |
| ELB4. | Application Load Balancer deve essere configurato per eliminare le intestazioni http | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Modifica attivata |
| ELB5. | La registrazione di Application e Classic Load Balancers deve essere abilitata | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Modifica attivata |
| ELB6. | Application, Gateway e Network Load Balancer devono avere la protezione da eliminazione abilitata | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | Modifica attivata | |
| ELB7. | I Classic Load Balancer dovrebbero avere abilitato il drenaggio della connessione | AWS Buone pratiche di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Modifica attivata |
| ELB8. | I sistemi Classic Load Balancer con SSL listener devono utilizzare una politica di sicurezza predefinita con una configurazione avanzata | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Modifica attivata |
| ELB9. | I sistemi Classic Load Balancer devono avere il bilanciamento del carico tra zone abilitato | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Modifica attivata |
| ELB.10 | Classic Load Balancer dovrebbe estendersi su più zone di disponibilità | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Modifica attivata |
| ELB1.2 | Application Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Modifica attivata |
| ELB1.3 | I Load Balancer per applicazioni, reti e gateway devono estendersi su più zone di disponibilità | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Modifica attivata |
| ELB1.4 | Classic Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa. | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Modifica attivata |
| ELB1.6 | Gli Application Load Balancer devono essere associati a un sito web AWS WAF ACL | NISTSP 800-53 Rev. 5 | MEDIUM | |
Modifica attivata |
| EMR1. | I nodi primari del EMR cluster Amazon non devono avere indirizzi IP pubblici | AWS Best practice di sicurezza di base v1.0.0, Service-Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | HIGH | |
Periodic (Periodico) |
| EMR2. | L'impostazione di EMR blocco dell'accesso pubblico di Amazon deve essere abilitata | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | CRITICAL | |
Periodic (Periodico) |
| ES.1 | I domini Elasticsearch devono avere la crittografia a riposo abilitata | AWS Buone pratiche di sicurezza di base v1.0.0, Service-Managed Standard:, v3.2.1, SP 800-53 Rev. 5 AWS Control Tower PCI DSS NIST | MEDIUM | |
Periodic (Periodico) |
| ES.2 | I domini Elasticsearch non devono essere accessibili al pubblico | AWS Buone pratiche di sicurezza di base v1.0.0, Service-Managed Standard:, v3.2.1, SP 800-53 Rev. 5 AWS Control Tower PCI DSS NIST | CRITICAL | |
Periodic (Periodico) |
| ES.3 | I domini Elasticsearch devono crittografare i dati inviati tra i nodi | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Modifica attivata |
| ES.4 | La registrazione degli errori del dominio Elasticsearch nei registri deve essere abilitata CloudWatch | AWS Buone pratiche di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Modifica attivata |
| ES.5 | I domini Elasticsearch devono avere la registrazione di controllo abilitata | AWS Buone pratiche di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Modifica attivata |
| ES.6 | I domini Elasticsearch devono avere almeno tre nodi di dati | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Modifica attivata |
| ES.7 | I domini Elasticsearch devono essere configurati con almeno tre nodi master dedicati | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Modifica attivata |
| ES.8 | Le connessioni ai domini Elasticsearch devono essere crittografate utilizzando la politica di sicurezza più recente TLS | AWS Buone pratiche di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | Modifica attivata | |
| ES.9 | I domini Elasticsearch devono essere etichettati | AWS Standard di etichettatura delle risorse | LOW | Modifica attivata | |
| EventBridge2. | EventBridge gli event bus devono essere etichettati | AWS Standard di etichettatura delle risorse | LOW | Modifica attivata | |
| EventBridge3. | EventBridge i bus di eventi personalizzati devono avere una politica basata sulle risorse allegata | AWS Best practice di sicurezza di base v1.0.0, SP 800-53 Rev. 5 NIST | LOW | |
Modifica attivata |
| EventBridge4. | EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata | NISTSP 800-53 Rev. 5 | MEDIUM | |
Modifica attivata |
| FSx1. | FSxper i ZFS file system aperti deve essere configurato per copiare i tag su backup e volumi | AWS Best practice di sicurezza di base v1.0.0, SP 800-53 Rev. 5 NIST | LOW | |
Periodic (Periodico) |
| FSx2. | FSxper Lustre i file system devono essere configurati per copiare i tag nei backup | AWS Best practice di sicurezza di base v1.0.0, SP 800-53 Rev. 5 NIST | LOW | Periodic (Periodico) | |
| Colla. 1 | AWS Glue i lavori devono essere etichettati | AWS Standard di etichettatura delle risorse | LOW | Modifica attivata | |
| Colla. 2 | AWS Glue i lavori dovrebbero avere la registrazione abilitata | AWS Buone pratiche di sicurezza di base v1.0.0 | MEDIUM | Modifica attivata | |
| Colla. 3 | AWS Glue le trasformazioni di apprendimento automatico devono essere crittografate a riposo | AWS Best practice di sicurezza di base v1.0.0 | MEDIUM | Modifica attivata | |
| GlobalAccelerator1. | Gli acceleratori Global Accelerator devono essere etichettati | AWS Standard di etichettatura delle risorse | LOW | Modifica attivata | |
| GuardDuty1. | GuardDuty dovrebbe essere abilitato | AWS Buone pratiche di sicurezza di base v1.0.0, Service Managed Standard:, v3.2.1, SP 800-53 Rev. AWS Control Tower 5 PCI DSS NIST | HIGH | |
Periodic (Periodico) |
| GuardDuty2. | GuardDuty i filtri devono essere etichettati | AWS Standard di etichettatura delle risorse | LOW | Modifica attivata | |
| GuardDuty3. | GuardDuty IPSetsdeve essere etichettato | AWS Standard di etichettatura delle risorse | LOW | Modifica attivata | |
| GuardDuty4. | GuardDuty i rilevatori devono essere etichettati | AWS Standard di etichettatura delle risorse | LOW | Modifica attivata | |
| GuardDuty5. | GuardDuty EKSIl monitoraggio dei registri di controllo deve essere abilitato | AWS Best practice di sicurezza di base v1.0.0 | HIGH | Periodic (Periodico) | |
| GuardDuty6. | GuardDuty La protezione Lambda deve essere abilitata | AWS Best practice di sicurezza di base v1.0.0 | HIGH | Periodic (Periodico) | |
| GuardDuty7. | GuardDuty EKSIl monitoraggio del runtime deve essere abilitato | AWS Best practice di sicurezza di base v1.0.0 | MEDIUM | Periodic (Periodico) | |
| GuardDuty8. | GuardDuty La protezione da malware per EC2 deve essere abilitata | AWS Best practice di sicurezza di base v1.0.0 | HIGH | Periodic (Periodico) | |
| GuardDuty9. | GuardDuty RDSLa protezione deve essere abilitata | AWS Best practice di sicurezza di base v1.0.0 | HIGH | Periodic (Periodico) | |
| GuardDuty1.0 | GuardDuty La protezione S3 deve essere abilitata | AWS Best practice di sicurezza di base v1.0.0 | HIGH | Periodic (Periodico) | |
| IAM1. | IAMle politiche non dovrebbero consentire privilegi amministrativi completi di tipo «*» | CIS AWS Foundations Benchmark v1.2.0, AWS Foundational Security Best Practices v1.0.0, Service Managed Standard:, v3.2.1, Foundations Benchmark v1.4.0, SP 800-53 Rev. AWS Control Tower 5 PCI DSS CIS AWS NIST | HIGH | |
Modifica attivata |
| IAM2. | IAMgli utenti non dovrebbero avere IAM politiche allegate | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.2.0, AWS Foundational Security Best Practices v1.0.0, Service Managed Standard:, v3.2.1, SP 800-53 Rev. 5 AWS Control Tower PCI DSS NIST | LOW | |
Modifica attivata |
| IAM3. | IAMle chiavi di accesso degli utenti devono essere ruotate ogni 90 giorni o meno | CIS AWS Foundations Benchmark v3.0.0, Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, CIS AWS AWS Foundational Security Best Practices v1.0.0, Service-Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Periodic (Periodico) |
| IAM4. | IAMla chiave di accesso per l'utente root non dovrebbe esistere | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, Foundations Benchmark v1.2.0, CIS AWS AWS Foundational Security Best Practices v1.0.0, Service Managed Standard:, v3.2.1, SP 800-53 Rev. 5 AWS Control Tower PCI DSS NIST | CRITICAL | |
Periodic (Periodico) |
| IAM5. | MFAdeve essere abilitato per tutti IAM gli utenti che dispongono di una password di console | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, Foundations Benchmark v1.2.0, CIS AWS AWS Foundational Security Best Practices v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Periodic (Periodico) |
| IAM6. | L'hardware MFA deve essere abilitato per l'utente root | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, Foundations Benchmark v1.2.0, CIS AWS AWS Foundational Security Best Practices v1.0.0, Service Managed Standard:, v3.2.1, SP 800-53 Rev. 5 AWS Control Tower PCI DSS NIST | CRITICAL | |
Periodic (Periodico) |
| IAM7. | Le politiche in materia di password per IAM gli utenti devono avere configurazioni solide | AWS Buone pratiche di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Periodic (Periodico) |
| IAM8. | Le credenziali IAM utente non utilizzate devono essere rimosse | CIS AWS Foundations Benchmark v1.2.0, AWS Foundational Security Best Practices v1.0.0, Service-Managed Standard:, v3.2.1, SP 800-53 Rev. 5 AWS Control Tower PCI DSS NIST | MEDIUM | |
Periodic (Periodico) |
| IAM9. | MFAdovrebbe essere abilitato per l'utente root | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, Foundations Benchmark v1.2.0, v3.2.1, SP CIS AWS 800-53 Rev. 5 PCI DSS NIST | CRITICAL | |
Periodic (Periodico) |
| IAM.10 | Le politiche relative alle password per IAM gli utenti devono avere configurazioni sicure | PCIDSSv3.2.1 | MEDIUM | |
Periodic (Periodico) |
| IAM.11 | Assicurati che IAM la politica delle password richieda almeno una lettera maiuscola | CIS AWS Foundations Benchmark v1.2.0 | MEDIUM | |
Periodic (Periodico) |
| IAM1.2 | Assicurati che IAM la politica delle password richieda almeno una lettera minuscola | CIS AWS Foundations Benchmark v1.2.0 | MEDIUM | |
Periodic (Periodico) |
| IAM1.3 | Assicurati che IAM la politica delle password richieda almeno un simbolo | CIS AWS Foundations Benchmark v1.2.0 | MEDIUM | |
Periodic (Periodico) |
| IAM1.4 | Assicurati che IAM la politica sulle password richieda almeno un numero | CIS AWS Foundations Benchmark v1.2.0 | MEDIUM | |
Periodic (Periodico) |
| IAM1.5 | Assicurati che IAM la politica in materia di password richieda una lunghezza minima della password pari o superiore a 14 | CIS AWS Foundations Benchmark v3.0.0, Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0 CIS AWS | MEDIUM | |
Periodic (Periodico) |
| IAM1.6 | Garantire che IAM la politica delle password impedisca il riutilizzo delle password | CIS AWS Foundations Benchmark v3.0.0, Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0 CIS AWS | LOW | |
Periodic (Periodico) |
| IAM1.7 | Assicurati che IAM la politica sulle password faccia scadere le password entro 90 giorni o meno | CIS AWS Foundations Benchmark v1.2.0 | LOW | |
Periodic (Periodico) |
| IAM1.8 | Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con AWS Support | CIS AWS Foundations Benchmark v3.0.0, Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0 CIS AWS | LOW | |
Periodic (Periodico) |
| IAM1.9 | MFAdeve essere abilitato per tutti gli utenti IAM | PCIDSSv3.2.1, NIST SP 800-53 Rev. 5 | MEDIUM | |
Periodic (Periodico) |
| IAM2.1 | IAMle politiche gestite dai clienti che create non dovrebbero consentire azioni jolly per i servizi | AWS Best practice di sicurezza di base v1.0.0, Service-Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | LOW | |
Modifica attivata |
| IAM2.2 | IAMle credenziali utente non utilizzate per 45 giorni devono essere rimosse | CIS AWS Foundations Benchmark v3.0.0, Foundations Benchmark v1.4.0 CIS AWS | MEDIUM | |
Periodic (Periodico) |
| IAM2.3 | IAMGli analizzatori Access Analyzer devono essere etichettati | AWS Standard di etichettatura delle risorse | LOW | Modifica attivata | |
| IAM2.4 | IAMi ruoli devono essere etichettati | AWS Standard di etichettatura delle risorse | LOW | Modifica attivata | |
| IAM2.5 | IAMgli utenti devono essere etichettati | AWS Standard di etichettatura delle risorse | LOW | Modifica attivata | |
| IAM2.6 | TLSI certificati scadutiSSL/gestiti in IAM devono essere rimossi | CIS AWS Foundations Benchmark v3.0.0 | MEDIUM | Periodic (Periodico) | |
| IAM2.7 | IAMle identità non dovrebbero avere la politica allegata AWSCloudShellFullAccess | CIS AWS Foundations Benchmark v3.0.0 | MEDIUM | Modifica attivata | |
| IAM2.8 | IAML'analizzatore di accesso esterno Access Analyzer deve essere abilitato | CIS AWS Foundations Benchmark v3.0.0 | HIGH | Periodic (Periodico) | |
| Ispettore.1 | La EC2 scansione di Amazon Inspector deve essere abilitata | AWS Best practice di sicurezza di base v1.0.0 | HIGH | Periodic (Periodico) | |
| Ispettore.2 | La ECR scansione di Amazon Inspector deve essere abilitata | AWS Best practice di sicurezza di base v1.0.0 | HIGH | Periodic (Periodico) | |
| Ispettore.3 | La scansione del codice Amazon Inspector Lambda deve essere abilitata | AWS Best practice di sicurezza di base v1.0.0 | HIGH | Periodic (Periodico) | |
| Ispettore.4 | La scansione standard di Amazon Inspector Lambda deve essere abilitata | AWS Best practice di sicurezza di base v1.0.0 | HIGH | Periodic (Periodico) | |
| IoT.1 | AWS IoT Device Defender i profili di sicurezza devono essere etichettati | AWS Standard di etichettatura delle risorse | LOW | Modifica attivata | |
| IoT.2 | AWS IoT Core le azioni di mitigazione devono essere etichettate | AWS Standard di etichettatura delle risorse | LOW | Modifica attivata | |
| IoT.3 | AWS IoT Core le dimensioni devono essere etichettate | AWS Standard di etichettatura delle risorse | LOW | Modifica attivata | |
| IoT 4 | AWS IoT Core gli autorizzatori devono essere etichettati | AWS Standard di etichettatura delle risorse | LOW | Modifica attivata | |
| IoT.5 | AWS IoT Core gli alias di ruolo devono essere etichettati | AWS Standard di etichettatura delle risorse | LOW | Modifica attivata | |
| IoT.6 | AWS IoT Core le politiche devono essere etichettate | AWS Standard di etichettatura delle risorse | LOW | Modifica attivata | |
| Kinesis.1 | Gli stream Kinesis devono essere crittografati quando sono inattivi | AWS Buone pratiche di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Modifica attivata |
| Cinesi.2 | Gli stream Kinesis devono essere etichettati | AWS Standard di etichettatura delle risorse | LOW | Modifica attivata | |
| Cinesi.3 | I flussi Kinesis devono avere un periodo di conservazione dei dati adeguato | AWS Best practice di sicurezza di base v1.0.0 | MEDIUM | Modifica attivata | |
| KMS1. | IAMle politiche gestite dal cliente non dovrebbero consentire azioni di decrittografia su tutte le chiavi KMS | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Modifica attivata |
| KMS2. | IAMi mandanti non dovrebbero avere politiche IAM in linea che consentano azioni di decrittografia su tutte le chiavi KMS | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Modifica attivata |
| KMS3. | AWS KMS keys non deve essere cancellato involontariamente | AWS Buone pratiche di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | CRITICAL | |
Modifica attivata |
| KMS4. | AWS KMS key la rotazione dovrebbe essere abilitata | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, Foundations Benchmark v1.2.0, v3.2.1, SP CIS AWS 800-53 Rev. 5 PCI DSS NIST | MEDIUM | |
Periodic (Periodico) |
| Lambda.1 | Le politiche delle funzioni Lambda dovrebbero vietare l'accesso pubblico | AWS Buone pratiche di sicurezza di base v1.0.0, Service-Managed Standard:, v3.2.1, SP 800-53 Rev. 5 AWS Control Tower PCI DSS NIST | CRITICAL | |
Modifica attivata |
| Lambda.2 | Le funzioni Lambda devono utilizzare runtime supportati | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Modifica attivata |
| Lambda.3 | Le funzioni Lambda dovrebbero trovarsi in un VPC | PCIDSSv3.2.1, NIST SP 800-53 Rev. 5 | LOW | |
Modifica attivata |
| Lambda.5 | VPCLe funzioni Lambda devono funzionare in più zone di disponibilità | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Modifica attivata |
| Lambda.6 | Le funzioni Lambda devono essere etichettate | AWS Standard di etichettatura delle risorse | LOW | Modifica attivata | |
| Macie.1 | Amazon Macie dovrebbe essere abilitato | AWS Best practice di sicurezza di base v1.0.0, SP 800-53 Rev. 5 NIST | MEDIUM | |
Periodic (Periodico) |
| Macie.2 | Il rilevamento automatico dei dati sensibili di Macie dovrebbe essere abilitato | AWS Best practice di sicurezza di base v1.0.0, SP 800-53 Rev. 5 NIST | HIGH | Periodic (Periodico) | |
| MSK1. | MSKi cluster devono essere crittografati durante il transito tra i nodi del broker | AWS Best practice di sicurezza di base v1.0.0, SP 800-53 Rev. 5 NIST | MEDIUM | |
Modifica attivata |
| MSK2. | MSKi cluster dovrebbero avere configurato un monitoraggio avanzato | NISTSP 800-53 Rev. 5 | LOW | |
Modifica attivata |
| MSK3. | MSKI connettori Connect devono essere crittografati in transito | AWS Best practice di sicurezza di base v1.0.0 | MEDIUM | Modifica attivata | |
| MQ. 2 | I broker ActiveMQ devono trasmettere i log di controllo a CloudWatch | AWS Best practice di sicurezza di base v1.0.0, SP 800-53 Rev. 5 NIST | MEDIUM | Modifica attivata | |
| MQ. 3 | I broker Amazon MQ dovrebbero avere abilitato l'aggiornamento automatico delle versioni secondarie | AWS Best practice di sicurezza di base v1.0.0, SP 800-53 Rev. 5 NIST | LOW | Modifica attivata | |
| MQ.4 | I broker Amazon MQ devono essere etichettati | AWS Standard di etichettatura delle risorse | LOW | Modifica attivata | |
| MQ.5 | I broker ActiveMQ devono utilizzare la modalità di distribuzione attiva/standby | NISTSP 800-53 Rev. 5, Service Managed Standard: AWS Control Tower | LOW | |
Modifica attivata |
| MQ.6 | I broker RabbitMQ dovrebbero utilizzare la modalità di distribuzione cluster | NISTSP 800-53 Rev. 5, Service Managed Standard: AWS Control Tower | LOW | |
Modifica attivata |
| Nettuno.1 | I cluster Neptune DB devono essere crittografati quando sono inattivi | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, Service Managed Standard: AWS Control Tower | MEDIUM | |
Modifica attivata |
| Nettuno.2 | I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch | AWS Best practice di sicurezza di base v1.0.0, SP 800-53 Rev. 5, Service Managed Standard: NIST AWS Control Tower | MEDIUM | |
Modifica attivata |
| Nettuno.3 | Le istantanee del cluster Neptune DB non devono essere pubbliche | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, Service Managed Standard: AWS Control Tower | CRITICAL | |
Modifica attivata |
| Nettuno.4 | I cluster Neptune DB devono avere la protezione da eliminazione abilitata | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, Service Managed Standard: AWS Control Tower | LOW | |
Modifica attivata |
| Nettuno.5 | I cluster Neptune DB devono avere i backup automatici abilitati | AWS Best practice di sicurezza di base v1.0.0, SP 800-53 Rev. 5, NIST Service Managed Standard: AWS Control Tower | MEDIUM | |
Modifica attivata |
| Nettuno.6 | Le istantanee del cluster Neptune DB devono essere crittografate a riposo | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, Service Managed Standard: AWS Control Tower | MEDIUM | |
Modifica attivata |
| Nettuno.7 | I cluster Neptune DB devono avere l'autenticazione del database abilitata IAM | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, Service Managed Standard: AWS Control Tower | MEDIUM | |
Modifica attivata |
| Nettuno.8 | I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee | AWS Best practice di sicurezza di base v1.0.0, SP 800-53 Rev. 5, NIST Service Managed Standard: AWS Control Tower | LOW | |
Modifica attivata |
| Nettuno.9 | I cluster Neptune DB devono essere distribuiti su più zone di disponibilità | NISTSP 800-53 Rev. 5 | MEDIUM | |
Modifica attivata |
| NetworkFirewall1. | I firewall Network Firewall devono essere implementati su più zone di disponibilità | NISTSP 800-53 Rev. 5 | MEDIUM | |
Modifica attivata |
| NetworkFirewall2. | La registrazione del Network Firewall deve essere abilitata | AWS Best practice di sicurezza di base v1.0.0, SP 800-53 Rev. 5 NIST | MEDIUM | |
Periodic (Periodico) |
| NetworkFirewall3. | Le policy del Network Firewall devono avere almeno un gruppo di regole associato | AWS Buone pratiche di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Modifica attivata |
| NetworkFirewall4. | L'azione stateless predefinita per le policy di Network Firewall dovrebbe essere «drop or forward» per pacchetti completi. | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Modifica attivata |
| NetworkFirewall5. | L'azione stateless predefinita per le policy di Network Firewall dovrebbe essere drop or forward per i pacchetti frammentati | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Modifica attivata |
| NetworkFirewall6. | Il gruppo di regole del firewall di rete stateless non deve essere vuoto | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Modifica attivata |
| NetworkFirewall7. | I firewall Network Firewall devono essere etichettati | AWS Standard di etichettatura delle risorse | LOW | Modifica attivata | |
| NetworkFirewall8. | Le politiche firewall del Network Firewall devono essere etichettate | AWS Standard di etichettatura delle risorse | LOW | Modifica attivata | |
| NetworkFirewall9. | I firewall Network Firewall devono avere la protezione da eliminazione abilitata | AWS Best practice di sicurezza di base v1.0.0, SP 800-53 Rev. 5 NIST | MEDIUM | |
Modifica attivata |
| Opensearch.1 | OpenSearch i domini devono avere la crittografia a riposo abilitata | AWS Buone pratiche di sicurezza di base v1.0.0, Service-Managed Standard: AWS Control Tower, v3.2.1, SP 800-53 Rev. 5 PCI DSS NIST | MEDIUM | |
Modifica attivata |
| Opensearch.2 | OpenSearch i domini non dovrebbero essere accessibili al pubblico | AWS Buone pratiche di sicurezza di base v1.0.0, Service-Managed Standard: AWS Control Tower, v3.2.1, SP 800-53 Rev. 5 PCI DSS NIST | CRITICAL | |
Modifica attivata |
| Opensearch.3 | OpenSearch i domini devono crittografare i dati inviati tra i nodi | AWS Buone pratiche di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Modifica attivata |
| Opensearch.4 | OpenSearch la registrazione degli errori di dominio nei CloudWatch registri dovrebbe essere abilitata | AWS Buone pratiche di sicurezza di base v1.0.0, Service-Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Modifica attivata |
| Opensearch.5 | OpenSearch i domini devono avere la registrazione di controllo abilitata | AWS Buone pratiche di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Modifica attivata |
| Opensearch.6 | OpenSearch i domini devono avere almeno tre nodi di dati | AWS Buone pratiche di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Modifica attivata |
| Opensearch.7 | OpenSearch i domini devono avere un controllo granulare degli accessi abilitato | AWS Buone pratiche di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | HIGH | |
Modifica attivata |
| Opensearch.8 | Le connessioni ai OpenSearch domini devono essere crittografate utilizzando la politica di sicurezza più recente TLS | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | Modifica attivata | |
| Ricerca aperta. 9 | OpenSearch i domini devono essere etichettati | AWS Standard di etichettatura delle risorse | LOW | Modifica attivata | |
| Ricerca aperta. 10 | OpenSearch nei domini dovrebbe essere installato l'ultimo aggiornamento software | AWS Buone pratiche di sicurezza di base v1.0.0, SP 800-53 Rev. 5 NIST | LOW | |
Modifica attivata |
| Ricerca aperta. 11 | OpenSearch i domini devono avere almeno tre nodi primari dedicati | NISTSP 800-53 Rev. 5 | MEDIUM | Periodic (Periodico) | |
| PCA1. | AWS Private CA l'autorità di certificazione principale deve essere disabilitata | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | LOW | |
Periodic (Periodico) |
| RDS1. | RDSl'istantanea deve essere privata | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard: AWS Control Tower, v3.2.1, SP 800-53 Rev. 5 PCI DSS NIST | CRITICAL | |
Modifica attivata |
| RDS2. | RDSLe istanze DB devono vietare l'accesso pubblico, come determinato dalla configurazione PubliclyAccessible | CIS AWS Foundations Benchmark v3.0.0, AWS Foundational Security Best Practices v1.0.0, Service Managed Standard:, v3.2.1, SP 800-53 Rev. 5 AWS Control Tower PCI DSS NIST | CRITICAL | |
Modifica attivata |
| RDS3. | RDSLe istanze DB devono avere la crittografia a riposo abilitata | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, AWS Foundational Security Best Practices v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Modifica attivata |
| RDS4. | RDSle istantanee del cluster e le istantanee del database devono essere crittografate quando sono inattive | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Modifica attivata |
| RDS5. | RDSLe istanze DB devono essere configurate con più zone di disponibilità | AWS Best practice di sicurezza di base v1.0.0, Service-Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Modifica attivata |
| RDS6. | Il monitoraggio avanzato deve essere configurato per le istanze RDS DB | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | LOW | |
Modifica attivata |
| RDS7. | RDSi cluster dovrebbero avere la protezione dall'eliminazione abilitata | AWS Best practice di sicurezza di base v1.0.0, SP 800-53 Rev. 5 NIST | LOW | |
Modifica attivata |
| RDS8. | RDSLe istanze DB devono avere la protezione dall'eliminazione abilitata | AWS Buone pratiche di sicurezza di base v1.0.0, Service-Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | LOW | |
Modifica attivata |
| RDS9. | RDSLe istanze DB devono pubblicare i log in Logs CloudWatch | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Modifica attivata |
| RDS.10 | IAMl'autenticazione deve essere configurata per le istanze RDS | AWS Buone pratiche di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Modifica attivata |
| RDS.11 | RDSle istanze devono avere i backup automatici abilitati | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Modifica attivata |
| RDS1.2 | IAMl'autenticazione deve essere configurata per i cluster RDS | AWS Best practice di sicurezza di base v1.0.0, SP 800-53 Rev. 5 NIST | MEDIUM | |
Modifica attivata |
| RDS1.3 | RDSgli aggiornamenti automatici delle versioni secondarie devono essere abilitati | CIS AWS Foundations Benchmark v3.0.0, AWS Foundational Security Best Practices v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | HIGH | |
Modifica attivata |
| RDS1.4 | I cluster Amazon Aurora dovrebbero avere il backtracking abilitato | AWS Best practice di sicurezza di base v1.0.0, SP 800-53 Rev. 5 NIST | MEDIUM | |
Modifica attivata |
| RDS1.5 | RDSI cluster DB devono essere configurati per più zone di disponibilità | AWS Best practice di sicurezza di base v1.0.0, SP 800-53 Rev. 5 NIST | MEDIUM | |
Modifica attivata |
| RDS1.6 | RDSI cluster DB devono essere configurati per copiare i tag nelle istantanee | AWS Best practice di sicurezza di base v1.0.0, SP 800-53 Rev. 5 NIST | LOW | |
Modifica attivata |
| RDS1.7 | RDSLe istanze DB devono essere configurate per copiare i tag nelle istantanee | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | LOW | |
Modifica attivata |
| RDS1.8 | RDSle istanze devono essere distribuite in un VPC | AWS Buone pratiche di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | HIGH | |
Modifica attivata |
| RDS.19 | Gli abbonamenti esistenti per la notifica degli RDS eventi devono essere configurati per gli eventi critici del cluster | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | LOW | |
Modifica attivata |
| RDS.20 | Le sottoscrizioni esistenti per la notifica degli RDS eventi devono essere configurate per gli eventi critici delle istanze di database | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | LOW | |
Modifica attivata |
| RDS2.1 | È necessario configurare un abbonamento alle notifiche di RDS eventi per gli eventi critici del gruppo di parametri del database | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | LOW | |
Modifica attivata |
| RDS2.2 | È necessario configurare un abbonamento alle notifiche di RDS eventi per gli eventi critici del gruppo di sicurezza del database | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | LOW | |
Modifica attivata |
| RDS2.3 | RDSle istanze non devono utilizzare una porta predefinita del motore di database | AWS Buone pratiche di sicurezza di base v1.0.0, Service-Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | LOW | |
Modifica attivata |
| RDS2.4 | RDSI cluster di database devono utilizzare un nome utente di amministratore personalizzato | AWS Best practice di sicurezza di base v1.0.0, SP 800-53 Rev. 5 NIST | MEDIUM | |
Modifica attivata |
| RDS2.5 | RDSle istanze del database devono utilizzare un nome utente di amministratore personalizzato | AWS Buone pratiche di sicurezza di base v1.0.0, Service-Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Modifica attivata |
| RDS2.6 | RDSLe istanze DB devono essere protette da un piano di backup | NISTSP 800-53 Rev. 5 | MEDIUM | |
Periodic (Periodico) |
| RDS.27 | RDSI cluster DB devono essere crittografati quando sono inattivi | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, Service Managed Standard: AWS Control Tower | MEDIUM | |
Modifica attivata |
| RDS2.8 | RDSI cluster DB devono essere etichettati | AWS Standard di etichettatura delle risorse | LOW | Modifica attivata | |
| RDS2.9 | RDSLe istantanee dei cluster DB devono essere etichettate | AWS Standard di etichettatura delle risorse | LOW | Modifica attivata | |
| RDS.30 | RDSLe istanze DB devono essere etichettate | AWS Standard di etichettatura delle risorse | LOW | Modifica attivata | |
| RDS3.1 | RDSI gruppi di sicurezza del DB devono essere etichettati | AWS Standard di etichettatura delle risorse | LOW | Modifica attivata | |
| RDS3.2 | RDSLe istantanee del DB devono essere etichettate | AWS Standard di etichettatura delle risorse | LOW | Modifica attivata | |
| RDS3.3 | RDSI gruppi di sottoreti DB devono essere etichettati | AWS Standard di etichettatura delle risorse | LOW | Modifica attivata | |
| RDS3.4 | Aurora I cluster My SQL DB dovrebbero pubblicare i log di controllo su Logs CloudWatch | AWS Best practice di sicurezza di base v1.0.0, SP 800-53 Rev. 5 NIST | MEDIUM | |
Modifica attivata |
| RDS3.5 | RDSNei cluster DB dovrebbe essere abilitato l'aggiornamento automatico delle versioni secondarie | AWS Best practice di sicurezza di base v1.0.0, SP 800-53 Rev. 5 NIST | MEDIUM | |
Modifica attivata |
| RDS3.6 | RDSper Postgres SQL DB, le istanze devono pubblicare i log in Logs CloudWatch | AWS Best practice di sicurezza di base v1.0.0 | MEDIUM | Modifica attivata | |
| RDS3.7 | I cluster Aurora Postgre SQL DB devono pubblicare i log in Logs CloudWatch | AWS Best practice di sicurezza di base v1.0.0 | MEDIUM | Modifica attivata | |
| Redshift.1 | I cluster Amazon Redshift dovrebbero vietare l'accesso pubblico | AWS Best practice di sicurezza di base v1.0.0, Service-Managed Standard:, v3.2.1, SP 800-53 Rev. 5 AWS Control Tower PCI DSS NIST | CRITICAL | |
Modifica attivata |
| Redshift.2 | Le connessioni ai cluster Amazon Redshift devono essere crittografate in transito | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Modifica attivata |
| Redshift.3 | I cluster Amazon Redshift devono avere le istantanee automatiche abilitate | AWS Best practice di sicurezza di base v1.0.0, SP 800-53 Rev. 5 NIST | MEDIUM | |
Modifica attivata |
| Redshift.4 | I cluster Amazon Redshift devono avere la registrazione di controllo abilitata | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Modifica attivata |
| Redshift.6 | Amazon Redshift dovrebbe avere gli upgrade automatici alle versioni principali abilitati | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Modifica attivata |
| Redshift.7 | I cluster Redshift devono utilizzare un routing avanzato VPC | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Modifica attivata |
| Redshift.8 | I cluster Amazon Redshift non devono utilizzare il nome utente di amministratore predefinito | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Modifica attivata |
| Redshift.9 | I cluster Redshift non devono utilizzare il nome di database predefinito | AWS Buone pratiche di sicurezza di base v1.0.0, Service-Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Modifica attivata |
| Redshift.10 | I cluster Redshift devono essere crittografati quando sono inattivi | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Modifica attivata |
| Redshift.11 | I cluster Redshift devono essere etichettati | AWS Standard di etichettatura delle risorse | LOW | Modifica attivata | |
| Redshift 12 | Le notifiche di sottoscrizione agli eventi Redshift devono essere contrassegnate | AWS Standard di etichettatura delle risorse | LOW | Modifica attivata | |
| Redshift 13 | Le istantanee del cluster Redshift devono essere etichettate | AWS Standard di etichettatura delle risorse | LOW | Modifica attivata | |
| Redshift 14 | I gruppi di sottoreti del cluster Redshift devono essere etichettati | AWS Standard di etichettatura delle risorse | LOW | Modifica attivata | |
| Redshift 15 | I gruppi di sicurezza Redshift dovrebbero consentire l'accesso alla porta del cluster solo da origini limitate | AWS Best practice di sicurezza di base v1.0.0 | HIGH | Periodic (Periodico) | |
| Percorso 53.1 | I controlli sanitari della Route 53 devono essere etichettati | AWS Standard di etichettatura delle risorse | LOW | Modifica attivata | |
| Percorso 53.2 | Le zone ospitate pubbliche di Route 53 devono registrare le interrogazioni DNS | AWS Best practice di sicurezza di base v1.0.0, SP 800-53 Rev. 5 NIST | MEDIUM | |
Modifica attivata |
| S3.1 | I bucket S3 per uso generico devono avere le impostazioni di blocco dell'accesso pubblico abilitate | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, AWS Foundational Security Best Practices v1.0.0, Service Managed Standard:, v3.2.1, SP 800-53 Rev. 5 AWS Control Tower PCI DSS NIST | MEDIUM | Periodic (Periodico) | |
| S3.2 | I bucket S3 per uso generico dovrebbero bloccare l'accesso pubblico alla lettura | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, v3.2.1, SP 800-53 Rev. 5 AWS Control Tower PCI DSS NIST | CRITICAL | Modifica attivata e periodica | |
| S3.3 | I bucket S3 per uso generico dovrebbero bloccare l'accesso pubblico in scrittura | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, v3.2.1, SP 800-53 Rev. 5 AWS Control Tower PCI DSS NIST | CRITICAL | Modifica attivata e periodica | |
| S3.5 | I bucket S3 per uso generico dovrebbero richiedere l'utilizzo di richieste SSL | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, AWS Foundational Security Best Practices v1.0.0, Service Managed Standard:, v3.2.1, SP 800-53 Rev. 5 AWS Control Tower PCI DSS NIST | MEDIUM | Modifica attivata | |
| S3.6 | Le policy relative ai bucket per uso generico di S3 dovrebbero limitare l'accesso ad altri Account AWS | AWS Buone pratiche di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | HIGH | Modifica attivata | |
| S3.7 | I bucket S3 per uso generico devono utilizzare la replica tra regioni | PCIDSSv3.2.1, SP 800-53 Rev. 5 NIST | LOW | Modifica attivata | |
| S3.8 | I bucket S3 per uso generico dovrebbero bloccare l'accesso pubblico | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, AWS Foundational Security Best Practices v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | HIGH | Modifica attivata | |
| S3.9 | I bucket S3 per uso generico devono avere la registrazione degli accessi al server abilitata | AWS Buone pratiche di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | Modifica attivata | |
| S3.10 | I bucket S3 per uso generico con il controllo delle versioni abilitato devono avere configurazioni del ciclo di vita | NISTSP 800-53 Rev. 5 | MEDIUM | Modifica attivata | |
| S3.11 | I bucket S3 per uso generico devono avere le notifiche degli eventi abilitate | NISTSP 800-53 Rev. 5 | MEDIUM | Modifica attivata | |
| S3.12 | ACLsnon deve essere utilizzato per gestire l'accesso degli utenti ai bucket generici S3 | AWS Buone pratiche di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | Modifica attivata | |
| S3.13 | I bucket S3 per uso generico devono avere configurazioni del ciclo di vita | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | LOW | Modifica attivata | |
| S3.14 | I bucket S3 per uso generico devono avere il controllo delle versioni abilitato | NISTSP 800-53 Rev. 5 | LOW | Modifica attivata | |
| S3.15 | I bucket S3 per uso generico devono avere Object Lock abilitato | NISTSP 800-53 Rev. 5 | MEDIUM | Modifica attivata | |
| S3.17 | I bucket S3 per uso generico devono essere crittografati quando sono inattivi con AWS KMS keys | Standard gestito dai servizi: SP 800-53 Rev. AWS Control Tower 5 NIST | MEDIUM | Modifica attivata | |
| S3.19 | I punti di accesso S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate | AWS Best practice di sicurezza di base v1.0.0, SP 800-53 Rev. 5 NIST | CRITICAL | Modifica attivata | |
| S3.20 | I bucket S3 per uso generico dovrebbero avere l'opzione di cancellazione abilitata MFA | CIS AWS Foundations Benchmark v3.0.0, Foundations Benchmark v1.4.0, SP CIS AWS 800-53 Rev. 5 NIST | LOW | Modifica attivata | |
| S3.22 | I bucket S3 per uso generico dovrebbero registrare gli eventi di scrittura a livello di oggetto | CIS AWS Foundations Benchmark v3.0.0 | MEDIUM | Periodic (Periodico) | |
| S3.23 | I bucket S3 per uso generico dovrebbero registrare gli eventi di lettura a livello di oggetto | CIS AWS Foundations Benchmark v3.0.0 | MEDIUM | Periodic (Periodico) | |
| S3.24 | I punti di accesso multiregione S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate | AWS Best practice di sicurezza di base v1.0.0 | HIGH | Modifica attivata | |
| SageMaker1. | Le istanze di SageMaker notebook Amazon non devono avere accesso diretto a Internet | AWS Best practice di sicurezza di base v1.0.0, Service-Managed Standard: AWS Control Tower, v3.2.1, SP 800-53 Rev. 5 PCI DSS NIST | HIGH | |
Periodic (Periodico) |
| SageMaker2. | SageMaker le istanze del notebook devono essere avviate in modo personalizzato VPC | AWS Best practice di sicurezza di base v1.0.0, Service-Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | HIGH | |
Modifica attivata |
| SageMaker3. | Gli utenti non devono avere accesso root alle istanze del SageMaker notebook | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | HIGH | |
Modifica attivata |
| SageMaker4. | SageMaker le varianti di produzione endpoint devono avere un numero iniziale di istanze maggiore di 1 | AWS Best practice di sicurezza di base v1.0.0, SP 800-53 Rev. 5 NIST | MEDIUM | Periodic (Periodico) | |
| SecretsManager1. | I segreti di Secrets Manager devono avere la rotazione automatica abilitata | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Modifica attivata |
| SecretsManager2. | I segreti di Secrets Manager configurati con rotazione automatica dovrebbero ruotare correttamente | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Modifica attivata |
| SecretsManager3. | Rimuovi i segreti inutilizzati di Secrets Manager | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Periodic (Periodico) |
| SecretsManager4. | I segreti di Secrets Manager devono essere ruotati entro un determinato numero di giorni | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Periodic (Periodico) |
| SecretsManager5. | I segreti di Secrets Manager devono essere etichettati | AWS Standard di etichettatura delle risorse | LOW | Modifica attivata | |
| ServiceCatalog1. | I portafogli Service Catalog devono essere condivisi solo all'interno di un' AWS organizzazione | AWS Best practice di sicurezza di base v1.0.0, SP 800-53 Rev. 5 NIST | HIGH | Periodic (Periodico) | |
| SES1. | SESgli elenchi di contatti devono essere etichettati | AWS Standard di etichettatura delle risorse | LOW | Modifica attivata | |
| SES2. | SESi set di configurazione devono essere etichettati | AWS Standard di etichettatura delle risorse | LOW | Modifica attivata | |
| SNS1. | SNSgli argomenti devono essere crittografati a riposo utilizzando AWS KMS | NISTSP 800-53 Rev. 5 | MEDIUM | Modifica attivata | |
| SNS3. | SNSgli argomenti devono essere etichettati | AWS Standard di etichettatura delle risorse | LOW | Modifica attivata | |
| SQS1. | SQSLe code di Amazon devono essere crittografate quando sono inattive | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Modifica attivata |
| SQS2. | SQSle code devono essere etichettate | AWS Standard di etichettatura delle risorse | LOW | Modifica attivata | |
| SSM1. | EC2le istanze devono essere gestite da AWS Systems Manager | AWS Buone pratiche di sicurezza di base v1.0.0, Service-Managed Standard: AWS Control Tower, v3.2.1, SP 800-53 Rev. 5 PCI DSS NIST | MEDIUM | |
Modifica attivata |
| SSM2. | EC2le istanze gestite da Systems Manager devono avere uno stato di conformità delle patch pari a COMPLIANT dopo l'installazione della patch | AWS Best practice di sicurezza di base v1.0.0, Service-Managed Standard: AWS Control Tower, v3.2.1, SP 800-53 Rev. 5 PCI DSS NIST | HIGH | |
Modifica attivata |
| SSM3. | EC2le istanze gestite da Systems Manager devono avere uno stato di conformità dell'associazione pari a COMPLIANT | AWS Best practice di sicurezza di base v1.0.0, Service-Managed Standard: AWS Control Tower, v3.2.1, SP 800-53 Rev. 5 PCI DSS NIST | LOW | |
Modifica attivata |
| SSM4. | SSMi documenti non devono essere pubblici | AWS Buone pratiche di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | CRITICAL | |
Periodic (Periodico) |
| StepFunctions.1 | Le macchine a stati Step Functions dovrebbero avere la registrazione attivata | AWS Migliori pratiche di sicurezza di base | MEDIUM | |
Modifica attivata |
| StepFunctions2. | Le attività di Step Functions devono essere etichettate | AWS Standard di etichettatura delle risorse | LOW | Modifica attivata | |
| Trasferimento.1 | I flussi di lavoro Transfer Family devono essere etichettati | AWS Standard di etichettatura delle risorse | LOW | Modifica attivata | |
| Trasferimento.2 | I server Transfer Family non devono utilizzare il FTP protocollo per la connessione agli endpoint | AWS Best practice di sicurezza di base v1.0.0, SP 800-53 Rev. 5 NIST | MEDIUM | Periodic (Periodico) | |
| WAF1. | AWS WAF La ACL registrazione Web globale classica deve essere abilitata | AWS Best practice di sicurezza di base v1.0.0, SP 800-53 Rev. 5 NIST | MEDIUM | |
Periodic (Periodico) |
| WAF2. | AWS WAF Le regole regionali classiche devono avere almeno una condizione | AWS Buone pratiche di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Modifica attivata |
| WAF3. | AWS WAF I gruppi di regole regionali classici dovrebbero avere almeno una regola | AWS Buone pratiche di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Modifica attivata |
| WAF4. | AWS WAF Il sito Web regionale classico ACLs deve avere almeno una regola o un gruppo di regole | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Modifica attivata |
| WAF6. | AWS WAF Le regole globali classiche devono avere almeno una condizione | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Modifica attivata |
| WAF7. | AWS WAF I gruppi di regole globali classici devono avere almeno una regola | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Modifica attivata |
| WAF8. | AWS WAF Il Web globale classico ACLs dovrebbe avere almeno una regola o un gruppo di regole | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Modifica attivata |
| WAF.10 | AWS WAF il web ACLs dovrebbe avere almeno una regola o un gruppo di regole | AWS Buone pratiche di sicurezza di base v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Modifica attivata |
| WAF.11 | AWS WAF la ACL registrazione web dovrebbe essere abilitata | NISTSP 800-53 Rev. 5 | LOW | |
Periodic (Periodico) |
| WAF1.2 | AWS WAF le regole dovrebbero avere le CloudWatch metriche abilitate | AWS Best practice di sicurezza di base v1.0.0, SP 800-53 Rev. 5 NIST | MEDIUM | |
Modifica attivata |
| WorkSpaces1. | WorkSpaces i volumi utente devono essere crittografati quando sono inattivi | AWS Best practice di sicurezza di base v1.0.0 | MEDIUM | Modifica attivata | |
| WorkSpaces2. | WorkSpaces i volumi root devono essere crittografati quando sono inattivi | AWS Best practice di sicurezza di base v1.0.0 | MEDIUM | Modifica attivata |
Argomenti
- Controlli Security Hub per Account AWS
- Controlli Security Hub per API Gateway
- Controlli Security Hub per AWS AppSync
- Controlli Security Hub per Athena
- Controlli Security Hub per AWS Backup
- Controlli Security Hub per ACM
- Controlli Security Hub per AWS CloudFormation
- Controlli Security Hub per CloudFront
- Controlli Security Hub per CloudTrail
- Controlli Security Hub per CloudWatch
- Controlli Security Hub per CodeArtifact
- Controlli Security Hub per CodeBuild
- Controlli Security Hub per AWS Config
- Controlli del Security Hub per Amazon Data Firehose
- Controlli Security Hub per DataSync
- Controlli del Security Hub per Detective
- Controlli Security Hub per AWS DMS
- Controlli del Security Hub per Amazon DocumentDB
- Controlli Security Hub per DynamoDB
- Controlli Security Hub per Amazon EC2
- Controlli Security Hub per Auto Scaling
- Controlli del Security Hub per Amazon ECR
- Controlli Security Hub per Amazon ECS
- Controlli Security Hub per Amazon EFS
- Controlli Security Hub per Amazon EKS
- Controlli Security Hub per ElastiCache
- Controlli del Security Hub per Elastic Beanstalk
- Controlli del Security Hub per Elastic Load Balancing
- Security Hub per Elasticsearch
- Controlli del Security Hub per Amazon EMR
- Controlli Security Hub per EventBridge
- Controlli Security Hub per Amazon FSx
- Controlli del Security Hub per Global Accelerator
- Controlli Security Hub per AWS Glue
- Controlli Security Hub per GuardDuty
- Controlli Security Hub per IAM
- Controlli del Security Hub per Amazon Inspector
- Controlli Security Hub per AWS IoT
- Controlli Security Hub per Kinesis
- Controlli Security Hub per AWS KMS
- Controlli Security Hub per Lambda
- Controlli Security Hub per Macie
- Controlli Security Hub per Amazon MSK
- Controlli del Security Hub per Amazon MQ
- Controlli del Security Hub per Neptune
- Controlli del Security Hub per Network Firewall
- Controlli del Security Hub per OpenSearch Service
- Controlli Security Hub per AWS Private CA
- Controlli del Security Hub per Amazon RDS
- Controlli del Security Hub per Amazon Redshift
- Controlli Security Hub per Route 53
- Controlli del Security Hub per Amazon S3
- Controlli Security Hub per SageMaker
- Controlli del Security Hub per Secrets Manager
- Controlli del Security Hub per Service Catalog
- Controlli Security Hub per Amazon SES
- Controlli del Security Hub per Amazon SNS
- Controlli Security Hub per Amazon SQS
- Controlli Security Hub per Step Functions
- Controlli Security Hub per Systems Manager
- Controlli del Security Hub per Transfer Family
- Controlli Security Hub per AWS WAF
- Controlli Security Hub per WorkSpaces
