Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Riferimento agli standard per Security Hub CSPM
<a name="standards-reference"></a>

In AWS Security Hub CSPM, uno *standard di sicurezza* è un insieme di requisiti basati su quadri normativi, best practice del settore o politiche aziendali. Security Hub CSPM associa questi requisiti ai controlli ed esegue controlli di sicurezza sui controlli per valutare se i requisiti di uno standard sono soddisfatti. Ogni standard include più controlli.

Security Hub CSPM attualmente supporta i seguenti standard:
+ **AWS Best practice di sicurezza di base**: sviluppato da AWS professionisti del settore, questo standard è una raccolta di best practice di sicurezza per le organizzazioni, indipendentemente dal settore o dalle dimensioni. Fornisce una serie di controlli che rilevano quando le tue Account AWS risorse si discostano dalle migliori pratiche di sicurezza. Fornisce inoltre indicazioni prescrittive su come migliorare e mantenere il livello di sicurezza.
+ **AWS Etichettatura delle risorse**: sviluppato da Security Hub CSPM, questo standard può aiutarti a determinare se AWS le tue risorse dispongono di tag. Un *tag* è una coppia chiave-valore che funge da metadati per una risorsa. AWS I tag possono aiutarti a identificare, classificare, gestire e cercare risorse. AWS Ad esempio, puoi utilizzare i tag per classificare le risorse in base allo scopo, al proprietario o all'ambiente.
+ **CIS AWS Foundations Benchmark** — Sviluppato dal Center for Internet Security (CIS), questo standard fornisce linee guida di configurazione sicure per. AWS Specifica una serie di linee guida e best practice per la configurazione della sicurezza per un sottoinsieme di risorse, con particolare attenzione alle impostazioni di base, verificabili Servizi AWS e indipendenti dall'architettura. Le linee guida includono procedure chiare di implementazione e valutazione. step-by-step
+ **NIST SP 800-53 Revisione 5** — Questo standard è in linea con i requisiti del National Institute of Standards and Technology (NIST) per proteggere la riservatezza, l'integrità e la disponibilità dei sistemi di informazione e delle risorse critiche. Il quadro associato si applica generalmente alle agenzie o alle organizzazioni federali degli Stati Uniti che collaborano con le agenzie federali o i sistemi di informazione degli Stati Uniti. Tuttavia, le organizzazioni private possono utilizzare i requisiti anche come quadro guida.
+ **NIST SP 800-171 Revisione 2**: questo standard è in linea con le raccomandazioni e i requisiti di sicurezza del NIST per proteggere la riservatezza delle informazioni controllate non classificate (CUI) in sistemi e organizzazioni che non fanno parte del governo federale degli Stati Uniti. Le *CUI* sono informazioni che non soddisfano i criteri di classificazione governativi, ma sono considerate sensibili e sono create o possedute dal governo federale degli Stati Uniti o da altre entità per conto del governo federale degli Stati Uniti.
+ **PCI DSS**: questo standard si allinea al framework di conformità PCI DSS (Payment Card Industry Data Security Standard) definito dal PCI Security Standards Council (SSC). Il framework fornisce una serie di regole e linee guida per la gestione sicura dei dati delle carte di credito e di debito. Il framework si applica generalmente alle organizzazioni che archiviano, elaborano o trasmettono i dati dei titolari di carte.
+ **Standard gestito dal servizio, AWS Control Tower** — Questo standard consente di configurare i controlli di rilevamento forniti da Security Hub CSPM. AWS Control Tower AWS Control Tower offre un modo semplice per configurare e gestire un ambiente AWS multi-account, seguendo le migliori pratiche prescrittive.

Gli standard e i controlli CSPM di Security Hub non garantiscono la conformità a nessun quadro normativo o controllo. Al contrario, forniscono un modo per valutare e monitorare lo stato delle vostre risorse. Account AWS Ti consigliamo di abilitare ogni standard pertinente alle tue esigenze aziendali, al tuo settore o al tuo caso d'uso.

I singoli controlli possono essere applicati a più di uno standard. Se abiliti più standard, ti consigliamo di abilitare anche i risultati di controllo consolidati. In tal caso, Security Hub CSPM genera un singolo risultato per ogni controllo, anche se il controllo si applica a più di uno standard. Se non attivi i risultati del controllo consolidato, Security Hub CSPM genera un risultato separato per ogni standard abilitato a cui si applica un controllo. Ad esempio, se si abilitano due standard e un controllo si applica a entrambi, si ottengono due risultati distinti per il controllo, uno per ogni standard. Se si abilitano i risultati del controllo consolidato, si riceve un solo risultato per il controllo. Per ulteriori informazioni, consulta [Risultati di controllo consolidati](controls-findings-create-update.md#consolidated-control-findings).

**Topics**
+ [AWS Le migliori pratiche di sicurezza di base](fsbp-standard.md)
+ [AWS Etichettatura delle risorse](standards-tagging.md)
+ [Benchmark CIS AWS Foundations](cis-aws-foundations-benchmark.md)
+ [NIST SP 800-53 Revisione 5](standards-reference-nist-800-53.md)
+ [NIST SP 800-171 Revisione 2](standards-reference-nist-800-171.md)
+ [PCI DSS](pci-standard.md)
+ [Standard gestiti dai servizi](service-managed-standards.md)

# AWS Standard di best practice di sicurezza di base in Security Hub CSPM
<a name="fsbp-standard"></a>

Sviluppato da AWS professionisti del settore, lo standard AWS Foundational Security Best Practices (FSBP) è una raccolta di best practice di sicurezza per le organizzazioni, indipendentemente dal settore o dalle dimensioni dell'organizzazione. Fornisce una serie di controlli che rilevano quando Account AWS e le risorse si discostano dalle migliori pratiche di sicurezza. Fornisce inoltre indicazioni prescrittive su come migliorare e mantenere il livello di sicurezza dell'organizzazione.

In AWS Security Hub CSPM, lo standard AWS Foundational Security Best Practices include controlli che valutano continuamente i tuoi carichi di lavoro Account AWS e ti aiutano a identificare le aree che si discostano dalle migliori pratiche di sicurezza. I controlli includono le migliori pratiche di sicurezza per risorse provenienti da più fonti. Servizi AWS A ogni controllo viene assegnata una categoria che riflette la funzione di sicurezza a cui si applica il controllo. Per un elenco di categorie e dettagli aggiuntivi, vedere[Categorie di controllo](control-categories.md).

## Controlli che si applicano allo standard
<a name="fsbp-controls"></a>

L'elenco seguente specifica quali controlli CSPM AWS di Security Hub si applicano allo standard AWS Foundational Security Best Practices (v1.0.0). Per esaminare i dettagli di un controllo, scegli il controllo.

 [[Account.1] Le informazioni di contatto di sicurezza devono essere fornite per un Account AWS](account-controls.md#account-1) 

 [[ACM.1] I certificati importati ed emessi da ACM devono essere rinnovati dopo un periodo di tempo specificato](acm-controls.md#acm-1) 

 [[ACM.2] I certificati RSA gestiti da ACM devono utilizzare una lunghezza di chiave di almeno 2.048 bit](acm-controls.md#acm-2) 

 [[APIGateway.1] API Gateway REST e la registrazione dell'esecuzione dell' WebSocket API devono essere abilitati](apigateway-controls.md#apigateway-1) 

 [[APIGateway.2] Le fasi API REST di API Gateway devono essere configurate per utilizzare i certificati SSL per l'autenticazione del backend](apigateway-controls.md#apigateway-2) 

 [[APIGateway.3] Le fasi API REST di API Gateway devono avere la AWS X-Ray traccia abilitata](apigateway-controls.md#apigateway-3) 

 [[APIGateway.4] API Gateway deve essere associato a un ACL Web WAF](apigateway-controls.md#apigateway-4) 

 [[APIGateway.5] I dati della cache dell'API REST di API Gateway devono essere crittografati quando sono inattivi](apigateway-controls.md#apigateway-5) 

 [[APIGateway.8] Le rotte API Gateway devono specificare un tipo di autorizzazione](apigateway-controls.md#apigateway-8) 

 [[APIGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages](apigateway-controls.md#apigateway-9) 

 [[APIGateway.10] Le integrazioni API Gateway V2 devono utilizzare HTTPS per le connessioni private](apigateway-controls.md#apigateway-10) 

 [[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive](appsync-controls.md#appsync-1) 

 [[AppSync.2] AWS AppSync dovrebbe avere la registrazione a livello di campo abilitata](appsync-controls.md#appsync-2) 

 [[AppSync.5] AWS AppSync APIs GraphQL non deve essere autenticato con chiavi API](appsync-controls.md#appsync-5) 

 [[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito](appsync-controls.md#appsync-6) 

 [[Athena.4] I gruppi di lavoro Athena devono avere la registrazione abilitata](athena-controls.md#athena-4) 

 [[AutoScaling.1] I gruppi di Auto Scaling associati a un sistema di bilanciamento del carico devono utilizzare i controlli di integrità ELB](autoscaling-controls.md#autoscaling-1) 

 [[AutoScaling.2] Il gruppo Amazon EC2 Auto Scaling dovrebbe coprire più zone di disponibilità](autoscaling-controls.md#autoscaling-2) 

 [[AutoScaling.3] Le configurazioni di avvio del gruppo Auto Scaling devono EC2 configurare le istanze in modo da richiedere Instance Metadata Service versione 2 () IMDSv2](autoscaling-controls.md#autoscaling-3) 

 [[Autoscaling.5] Le istanze EC2 Amazon avviate utilizzando le configurazioni di avvio del gruppo Auto Scaling non devono avere indirizzi IP pubblici](autoscaling-controls.md#autoscaling-5) 

 [[AutoScaling.6] I gruppi di Auto Scaling devono utilizzare più tipi di istanze in più zone di disponibilità](autoscaling-controls.md#autoscaling-6) 

 [[AutoScaling.9] I gruppi Amazon EC2 Auto Scaling devono utilizzare i modelli di lancio di Amazon EC2](autoscaling-controls.md#autoscaling-9) 

 [[Backup.1] i punti di AWS Backup ripristino devono essere crittografati a riposo](backup-controls.md#backup-1) 

 [[CloudFormation.3] gli CloudFormation stack dovrebbero avere la protezione dalla terminazione abilitata](cloudformation-controls.md#cloudformation-3) 

 [[CloudFormation.4] gli CloudFormation stack devono avere ruoli di servizio associati](cloudformation-controls.md#cloudformation-4) 

 [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1) 

 [[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3) 

 [[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine](cloudfront-controls.md#cloudfront-4) 

 [[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5) 

 [[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6) 

 [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7) 

 [[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS](cloudfront-controls.md#cloudfront-8) 

 [[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9) 

 [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10) 

 [[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti](cloudfront-controls.md#cloudfront-12) 

 [[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine](cloudfront-controls.md#cloudfront-13) 

 [[CloudFront.15] CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata](cloudfront-controls.md#cloudfront-15) 

 [[CloudFront.16] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine per le origini degli URL della funzione Lambda](cloudfront-controls.md#cloudfront-16) 

 [[CloudFront.17] CloudFront le distribuzioni devono utilizzare gruppi di chiavi affidabili per i file firmati e i cookie URLs](cloudfront-controls.md#cloudfront-17) 

 [[CloudTrail.1] CloudTrail deve essere abilitato e configurato con almeno un percorso multiregionale che includa eventi di gestione di lettura e scrittura](cloudtrail-controls.md#cloudtrail-1) 

 [[CloudTrail.2] CloudTrail dovrebbe avere la crittografia a riposo abilitata](cloudtrail-controls.md#cloudtrail-2) 

 [[CloudTrail.4] la convalida dei file di CloudTrail registro dovrebbe essere abilitata](cloudtrail-controls.md#cloudtrail-4) 

 [[CloudTrail.5] i CloudTrail trail devono essere integrati con Amazon Logs CloudWatch](cloudtrail-controls.md#cloudtrail-5) 

 [[CodeBuild.1] L'archivio dei sorgenti di CodeBuild Bitbucket non URLs deve contenere credenziali sensibili](codebuild-controls.md#codebuild-1) 

 [[CodeBuild.2] Le variabili di ambiente CodeBuild del progetto non devono contenere credenziali di testo non crittografato](codebuild-controls.md#codebuild-2) 

 [[CodeBuild.3] I log CodeBuild S3 devono essere crittografati](codebuild-controls.md#codebuild-3) 

 [[CodeBuild.4] Gli ambienti di CodeBuild progetto devono avere una durata di registrazione AWS Config](codebuild-controls.md#codebuild-4) 

 [[CodeBuild.7] Le esportazioni dei gruppi di CodeBuild report devono essere crittografate quando sono inattive](codebuild-controls.md#codebuild-7) 

 [[Cognito.2] I pool di identità Cognito non dovrebbero consentire identità non autenticate](cognito-controls.md#cognito-2) 

 [[Cognito.3] Le politiche relative alle password per i pool di utenti di Cognito devono avere configurazioni avanzate](cognito-controls.md#cognito-3) 

 [[Cognito.4] I pool di utenti di Cognito dovrebbero avere la protezione dalle minacce attivata con la modalità di imposizione completa delle funzioni per l'autenticazione personalizzata](cognito-controls.md#cognito-4) 

 [[Cognito.5] L'MFA deve essere abilitata per i pool di utenti Cognito](cognito-controls.md#cognito-5) 

 [[Cognito.6] I pool di utenti Cognito devono avere la protezione dall'eliminazione abilitata](cognito-controls.md#cognito-6) 

 [[Config.1] AWS Config deve essere abilitato e utilizzare il ruolo collegato al servizio per la registrazione delle risorse](config-controls.md#config-1) 

 [[Connect.2] Le istanze Amazon Connect devono avere la registrazione abilitata CloudWatch](connect-controls.md#connect-2) 

 [[DataFirehose.1] I flussi di distribuzione di Firehose devono essere crittografati quando sono inattivi](datafirehose-controls.md#datafirehose-1) 

 [[DataSync.1] DataSync le attività devono avere la registrazione abilitata](datasync-controls.md#datasync-1) 

 [[DMS.1] Le istanze di replica del Database Migration Service non devono essere pubbliche](dms-controls.md#dms-1) 

 [[DMS.6] Le istanze di replica DMS devono avere l'aggiornamento automatico delle versioni secondarie abilitato](dms-controls.md#dms-6) 

 [[DMS.7] Le attività di replica DMS per il database di destinazione devono avere la registrazione abilitata](dms-controls.md#dms-7) 

 [[DMS.8] Le attività di replica DMS per il database di origine devono avere la registrazione abilitata](dms-controls.md#dms-8) 

 [[DMS.9] Gli endpoint DMS devono utilizzare SSL](dms-controls.md#dms-9) 

 [[DMS.10] Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata](dms-controls.md#dms-10) 

 [[DMS.11] Gli endpoint DMS per MongoDB devono avere un meccanismo di autenticazione abilitato](dms-controls.md#dms-11) 

 [[DMS.12] Gli endpoint DMS per Redis OSS devono avere TLS abilitato](dms-controls.md#dms-12) 

 [[DMS.13] Le istanze di replica DMS devono essere configurate per utilizzare più zone di disponibilità](dms-controls.md#dms-13) 

 [[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi](documentdb-controls.md#documentdb-1) 

 [[DocumentDB.2] I cluster Amazon DocumentDB devono avere un periodo di conservazione dei backup adeguato](documentdb-controls.md#documentdb-2) 

 [[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche](documentdb-controls.md#documentdb-3) 

 [[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch](documentdb-controls.md#documentdb-4) 

 [[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata](documentdb-controls.md#documentdb-5) 

 [[DocumentDB.6] I cluster Amazon DocumentDB devono essere crittografati in transito](documentdb-controls.md#documentdb-6) 

 [[DynamoDB.1] Le tabelle DynamoDB dovrebbero scalare automaticamente la capacità in base alla domanda](dynamodb-controls.md#dynamodb-1) 

 [[DynamoDB.2] Le tabelle DynamoDB dovrebbero avere il ripristino abilitato point-in-time](dynamodb-controls.md#dynamodb-2) 

 [[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi](dynamodb-controls.md#dynamodb-3) 

 [[DynamoDB.6] Le tabelle DynamoDB devono avere la protezione da eliminazione abilitata](dynamodb-controls.md#dynamodb-6) 

 [[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito](dynamodb-controls.md#dynamodb-7) 

 [[EC2.1] Gli snapshot di Amazon EBS non devono essere ripristinabili pubblicamente](ec2-controls.md#ec2-1) 

 [[EC2.2] I gruppi di sicurezza VPC predefiniti non dovrebbero consentire il traffico in entrata o in uscita](ec2-controls.md#ec2-2) 

 [[EC2.3] I volumi Amazon EBS collegati devono essere crittografati a riposo](ec2-controls.md#ec2-3) 

 [[EC2.4] Le istanze EC2 arrestate devono essere rimosse dopo un periodo di tempo specificato](ec2-controls.md#ec2-4) 

 [[EC2.6] La registrazione del flusso in VPC deve essere abilitata in tutti i casi VPCs](ec2-controls.md#ec2-6) 

 [[EC2.7] La crittografia predefinita di EBS deve essere abilitata](ec2-controls.md#ec2-7) 

 [[EC2.8] Le istanze EC2 devono utilizzare Instance Metadata Service versione 2 () IMDSv2](ec2-controls.md#ec2-8) 

 [[EC2.9] Le istanze Amazon EC2 non devono avere un indirizzo pubblico IPv4](ec2-controls.md#ec2-9) 

 [[EC2.10] Amazon EC2 deve essere configurato per utilizzare endpoint VPC creati per il servizio Amazon EC2](ec2-controls.md#ec2-10) 

 [[EC2.15] Le sottoreti Amazon EC2 non devono assegnare automaticamente indirizzi IP pubblici](ec2-controls.md#ec2-15) 

 [[EC2.16] Le liste di controllo degli accessi alla rete non utilizzate devono essere rimosse](ec2-controls.md#ec2-16) 

 [[EC2.17] Le istanze Amazon EC2 non devono utilizzare più istanze ENIs](ec2-controls.md#ec2-17) 

 [[EC2.18] I gruppi di sicurezza devono consentire il traffico in entrata senza restrizioni solo per le porte autorizzate](ec2-controls.md#ec2-18) 

 [[EC2.19] I gruppi di sicurezza non devono consentire l'accesso illimitato alle porte ad alto rischio](ec2-controls.md#ec2-19) 

 [[EC2.20] Entrambi i tunnel VPN per una connessione AWS Site-to-Site VPN devono essere attivi](ec2-controls.md#ec2-20) 

 [[EC2.21] La rete non ACLs dovrebbe consentire l'ingresso dalla porta 0.0.0.0/0 alla porta 22 o alla porta 3389](ec2-controls.md#ec2-21) 

 [[EC2.23] I gateway di transito Amazon EC2 non devono accettare automaticamente le richieste di allegati VPC](ec2-controls.md#ec2-23) 

 [[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati](ec2-controls.md#ec2-24) 

 [[EC2.25] I modelli di lancio di Amazon EC2 non devono IPs assegnare interfacce di rete pubbliche](ec2-controls.md#ec2-25) 

 [[EC2.51] Gli endpoint EC2 Client VPN devono avere la registrazione delle connessioni client abilitata](ec2-controls.md#ec2-51) 

[[EC2.55] VPCs deve essere configurato con un endpoint di interfaccia per l'API ECR](ec2-controls.md#ec2-55)

[[EC2.56] VPCs deve essere configurato con un endpoint di interfaccia per Docker Registry](ec2-controls.md#ec2-56)

[[EC2.57] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager](ec2-controls.md#ec2-57)

[[EC2.58] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager Contacts](ec2-controls.md#ec2-58)

[[EC2.60] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager](ec2-controls.md#ec2-60)

 [[EC2.170] I modelli di lancio di EC2 devono utilizzare Instance Metadata Service Version 2 () IMDSv2](ec2-controls.md#ec2-170) 

 [[EC2.171] Le connessioni VPN EC2 devono avere la registrazione abilitata](ec2-controls.md#ec2-171) 

 [[EC2.172] Le impostazioni VPC Block Public Access di EC2 dovrebbero bloccare il traffico del gateway Internet](ec2-controls.md#ec2-172) 

 [[EC2.173] Le richieste Spot Fleet di EC2 con parametri di avvio devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-173) 

 [[EC2.180] Il controllo delle interfacce di rete EC2 dovrebbe avere il controllo abilitato source/destination](ec2-controls.md#ec2-180) 

 [[EC2.181] I modelli di lancio di EC2 devono abilitare la crittografia per i volumi EBS collegati](ec2-controls.md#ec2-181) 

 [[EC2.182] Gli snapshot di Amazon EBS non devono essere accessibili al pubblico](ec2-controls.md#ec2-182) 

 [[ECR.1] Gli archivi privati ECR devono avere la scansione delle immagini configurata](ecr-controls.md#ecr-1) 

 [[ECR.2] I repository privati ECR devono avere l'immutabilità dei tag configurata](ecr-controls.md#ecr-2) 

 [[ECR.3] I repository ECR devono avere almeno una politica del ciclo di vita configurata](ecr-controls.md#ecr-3) 

 [[ECS.1] Le definizioni delle attività di Amazon ECS devono avere modalità di rete e definizioni utente sicure](ecs-controls.md#ecs-1) 

 [[ECS.2] Ai servizi ECS non devono essere assegnati automaticamente indirizzi IP pubblici](ecs-controls.md#ecs-2) 

 [[ECS.3] Le definizioni delle attività ECS non devono condividere lo spazio dei nomi dei processi dell'host](ecs-controls.md#ecs-3) 

 [[ECS.4] I contenitori ECS devono essere eseguiti come non privilegiati](ecs-controls.md#ecs-4) 

 [[ECS.5] Le definizioni delle attività ECS devono configurare i contenitori in modo che siano limitati all'accesso in sola lettura ai filesystem root](ecs-controls.md#ecs-5) 

 [[ECS.8] I segreti non devono essere passati come variabili di ambiente del contenitore](ecs-controls.md#ecs-8) 

 [[ECS.9] Le definizioni delle attività ECS devono avere una configurazione di registrazione](ecs-controls.md#ecs-9) 

 [[ECS.10] I servizi ECS Fargate devono essere eseguiti sulla versione più recente della piattaforma Fargate](ecs-controls.md#ecs-10) 

 [[ECS.12] I cluster ECS devono utilizzare Container Insights](ecs-controls.md#ecs-12) 

 [[ECS.16] I set di attività ECS non devono assegnare automaticamente indirizzi IP pubblici](ecs-controls.md#ecs-16) 

 [[ECS.18] Le definizioni delle attività ECS devono utilizzare la crittografia in transito per i volumi EFS](ecs-controls.md#ecs-18) 

 [[ECS.19] I provider di capacità ECS dovrebbero avere abilitato la protezione gestita dalle terminazioni](ecs-controls.md#ecs-19) 

 [[ECS.20] Le definizioni delle attività ECS devono configurare gli utenti non root nelle definizioni dei container Linux](ecs-controls.md#ecs-20) 

 [[ECS.21] Le definizioni delle attività ECS devono configurare gli utenti non amministratori nelle definizioni dei contenitori Windows](ecs-controls.md#ecs-21) 

 [[EFS.1] Elastic File System deve essere configurato per crittografare i dati dei file inattivi utilizzando AWS KMS](efs-controls.md#efs-1) 

 [[EFS.2] I volumi Amazon EFS devono essere inclusi nei piani di backup](efs-controls.md#efs-2) 

 [[EFS.3] I punti di accesso EFS devono applicare una directory principale](efs-controls.md#efs-3) 

 [[EFS.4] I punti di accesso EFS devono applicare un'identità utente](efs-controls.md#efs-4) 

 [[EFS.6] I target di montaggio EFS non devono essere associati a sottoreti che assegnano indirizzi IP pubblici all'avvio](efs-controls.md#efs-6) 

 [[EFS.7] I file system EFS devono avere i backup automatici abilitati](efs-controls.md#efs-7) 

 [[EFS.8] I file system EFS devono essere crittografati quando sono inattivi](efs-controls.md#efs-8) 

 [[EKS.1] Gli endpoint del cluster EKS non dovrebbero essere accessibili al pubblico](eks-controls.md#eks-1) 

 [[EKS.2] I cluster EKS devono essere eseguiti su una versione Kubernetes supportata](eks-controls.md#eks-2) 

 [[EKS.3] I cluster EKS devono utilizzare segreti Kubernetes crittografati](eks-controls.md#eks-3) 

 [[EKS.8] I cluster EKS devono avere la registrazione di controllo abilitata](eks-controls.md#eks-8) 

 [I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati](elasticache-controls.md#elasticache-1) 

 [[ElastiCache.2] i ElastiCache cluster dovrebbero avere gli aggiornamenti automatici delle versioni secondarie abilitati](elasticache-controls.md#elasticache-2) 

 [[ElastiCache.3] i gruppi di ElastiCache replica devono avere il failover automatico abilitato](elasticache-controls.md#elasticache-3) 

 [[ElastiCache.4] i gruppi di ElastiCache replica devono essere crittografati quando sono inattivi](elasticache-controls.md#elasticache-4) 

 [[ElastiCache.5] i gruppi di ElastiCache replica devono essere crittografati in transito](elasticache-controls.md#elasticache-5) 

 [[ElastiCache.6] ElastiCache (Redis OSS) i gruppi di replica delle versioni precedenti devono avere Redis OSS AUTH abilitato](elasticache-controls.md#elasticache-6) 

 [[ElastiCache.7] ElastiCache i cluster non devono utilizzare il gruppo di sottoreti predefinito](elasticache-controls.md#elasticache-7) 

 [[ElasticBeanstalk.1] Gli ambienti Elastic Beanstalk dovrebbero avere la reportistica sullo stato avanzata abilitata](elasticbeanstalk-controls.md#elasticbeanstalk-1) 

 [[ElasticBeanstalk.2] Gli aggiornamenti della piattaforma gestita da Elastic Beanstalk devono essere abilitati](elasticbeanstalk-controls.md#elasticbeanstalk-2) 

 [[ElasticBeanstalk.3] Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 

 [[ELB.1] Application Load Balancer deve essere configurato per reindirizzare tutte le richieste HTTP a HTTPS](elb-controls.md#elb-1) 

 [[ELB.2] I sistemi Classic Load Balancer con SSL/HTTPS listener devono utilizzare un certificato fornito da AWS Certificate Manager](elb-controls.md#elb-2) 

 [[ELB.3] I listener Classic Load Balancer devono essere configurati con terminazione HTTPS o TLS](elb-controls.md#elb-3) 

 [[ELB.4] L'Application Load Balancer deve essere configurato per eliminare le intestazioni http non valide](elb-controls.md#elb-4) 

 [[ELB.5] La registrazione delle applicazioni e dei sistemi Classic Load Balancers deve essere abilitata](elb-controls.md#elb-5) 

 [[ELB.6] Application, Gateway e Network Load Balancer devono avere la protezione da eliminazione abilitata](elb-controls.md#elb-6) 

 [[ELB.7] I Classic Load Balancer devono avere il drenaggio della connessione abilitato](elb-controls.md#elb-7) 

 [[ELB.8] I Classic Load Balancer con listener SSL devono utilizzare una politica di sicurezza predefinita con una durata elevata AWS Config](elb-controls.md#elb-8) 

 [[ELB.9] I Classic Load Balancer devono avere il bilanciamento del carico tra zone abilitato](elb-controls.md#elb-9) 

 [[ELB.10] Classic Load Balancer dovrebbe estendersi su più zone di disponibilità](elb-controls.md#elb-10) 

 [[ELB.12] Application Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa](elb-controls.md#elb-12) 

 [[ELB.13] I Load Balancer per applicazioni, reti e gateway devono estendersi su più zone di disponibilità](elb-controls.md#elb-13) 

 [[ELB.14] Classic Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa](elb-controls.md#elb-14) 

 [[ELB.17] Gli Application and Network Load Balancer con listener devono utilizzare le politiche di sicurezza consigliate](elb-controls.md#elb-17) 

 [[ELB.18] I listener di Application e Network Load Balancer devono utilizzare protocolli sicuri per crittografare i dati in transito](elb-controls.md#elb-18) 

 [[ELB.21] I gruppi target di Application e Network Load Balancer devono utilizzare protocolli di controllo dello stato crittografati](elb-controls.md#elb-21) 

 [[ELB.22] I gruppi target ELB devono utilizzare protocolli di trasporto crittografati](elb-controls.md#elb-22) 

 [[EMR.1] I nodi primari del cluster Amazon EMR non devono avere indirizzi IP pubblici](emr-controls.md#emr-1) 

 [[EMR.2] L'impostazione di accesso pubblico a blocchi di Amazon EMR deve essere abilitata](emr-controls.md#emr-2) 

 [[EMR.3] Le configurazioni di sicurezza di Amazon EMR devono essere crittografate quando sono inattive](emr-controls.md#emr-3) 

 [[EMR.4] Le configurazioni di sicurezza di Amazon EMR devono essere crittografate in transito](emr-controls.md#emr-4) 

 [[ES.1] I domini Elasticsearch devono avere la crittografia a riposo abilitata](es-controls.md#es-1) 

 [[ES.2] I domini Elasticsearch non devono essere accessibili al pubblico](es-controls.md#es-2) 

 [[ES.3] I domini Elasticsearch devono crittografare i dati inviati tra i nodi](es-controls.md#es-3) 

 [[ES.4] La registrazione degli errori del dominio Elasticsearch nei log deve essere abilitata CloudWatch](es-controls.md#es-4) 

 [[ES.5] I domini Elasticsearch devono avere la registrazione di controllo abilitata](es-controls.md#es-5) 

 [[ES.6] I domini Elasticsearch devono avere almeno tre nodi di dati](es-controls.md#es-6) 

 [[ES.7] I domini Elasticsearch devono essere configurati con almeno tre nodi master dedicati](es-controls.md#es-7) 

 [[ES.8] Le connessioni ai domini Elasticsearch devono essere crittografate utilizzando la più recente politica di sicurezza TLS](es-controls.md#es-8) 

 [[EventBridge.3] i bus di eventi EventBridge personalizzati dovrebbero avere una politica basata sulle risorse allegata](eventbridge-controls.md#eventbridge-3) 

 [[FSx.1] FSx per i file system OpenZFS deve essere configurato per copiare i tag su backup e volumi](fsx-controls.md#fsx-1) 

 [[FSx.2] FSx per i file system Lustre devono essere configurati per copiare i tag nei backup](fsx-controls.md#fsx-2) 

 [[FSx.3] FSx per i file system OpenZFS deve essere configurato per l'implementazione Multi-AZ](fsx-controls.md#fsx-3) 

 [[FSx.4] FSx per i file system NetApp ONTAP deve essere configurato per l'implementazione Multi-AZ](fsx-controls.md#fsx-4) 

 [[FSx.5] FSx per i file system Windows File Server devono essere configurati per l'implementazione Multi-AZ](fsx-controls.md#fsx-5) 

 [[Glue.3] le trasformazioni di apprendimento AWS Glue automatico devono essere crittografate a riposo](glue-controls.md#glue-3) 

 [[Glue.4] I job AWS Glue Spark dovrebbero essere eseguiti su versioni supportate di AWS Glue](glue-controls.md#glue-4) 

 [[GuardDuty.1] GuardDuty dovrebbe essere abilitato](guardduty-controls.md#guardduty-1) 

 [[GuardDuty.5] GuardDuty EKS Audit Log Monitoring deve essere abilitato](guardduty-controls.md#guardduty-5) 

 [[GuardDuty.6] La protezione GuardDuty Lambda deve essere abilitata](guardduty-controls.md#guardduty-6) 

 [[GuardDuty.7] GuardDuty EKS Runtime Monitoring deve essere abilitato](guardduty-controls.md#guardduty-7) 

 [[GuardDuty.8] La protezione GuardDuty da malware per EC2 deve essere abilitata](guardduty-controls.md#guardduty-8) 

 [[GuardDuty.9] GuardDuty La protezione RDS deve essere abilitata](guardduty-controls.md#guardduty-9) 

 [[GuardDuty.10] La protezione GuardDuty S3 deve essere abilitata](guardduty-controls.md#guardduty-10) 

 [[GuardDuty.11] Il monitoraggio del GuardDuty runtime deve essere abilitato](guardduty-controls.md#guardduty-11) 

 [[GuardDuty.12] Il monitoraggio del runtime GuardDuty ECS deve essere abilitato](guardduty-controls.md#guardduty-12) 

 [[GuardDuty.13] Il monitoraggio del runtime GuardDuty EC2 deve essere abilitato](guardduty-controls.md#guardduty-13) 

 [[IAM.1] Le politiche IAM non dovrebbero consentire privilegi amministrativi «\$1» completi](iam-controls.md#iam-1) 

 [[IAM.2] Gli utenti IAM non devono avere policy IAM allegate](iam-controls.md#iam-2) 

 [[IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno](iam-controls.md#iam-3) 

 [[IAM.4] La chiave di accesso utente root IAM non dovrebbe esistere](iam-controls.md#iam-4) 

 [[IAM.5] MFA deve essere abilitata per tutti gli utenti IAM che dispongono di una password della console](iam-controls.md#iam-5) 

 [[IAM.6] L'autenticazione MFA per l'hardware deve essere abilitata per l'utente root](iam-controls.md#iam-6) 

 [[IAM.7] Le policy relative alle password per gli utenti IAM devono avere configurazioni solide](iam-controls.md#iam-7) 

 [[IAM.8] Le credenziali utente IAM non utilizzate devono essere rimosse](iam-controls.md#iam-8) 

 [[IAM.21] Le policy gestite dai clienti IAM che create non dovrebbero consentire azioni jolly per i servizi](iam-controls.md#iam-21) 

 [[Inspector.1] La scansione di Amazon Inspector deve essere abilitata EC2](inspector-controls.md#inspector-1) 

 [[Inspector.2] La scansione ECR di Amazon Inspector deve essere abilitata](inspector-controls.md#inspector-2) 

 [[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-3) 

 [[Inspector.4] La scansione standard di Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-4) 

 [[Kinesis.1] Gli stream Kinesis devono essere crittografati quando sono inattivi](kinesis-controls.md#kinesis-1) 

 [[Kinesis.3] I flussi Kinesis devono avere un periodo di conservazione dei dati adeguato](kinesis-controls.md#kinesis-3) 

 [[KMS.1] Le politiche gestite dai clienti di IAM non dovrebbero consentire azioni di decrittografia su tutte le chiavi KMS](kms-controls.md#kms-1) 

 [[KMS.2] I principali IAM non devono disporre di policy IAM in linea che consentano azioni di decrittografia su tutte le chiavi KMS](kms-controls.md#kms-2) 

 [[KMS.3] AWS KMS keys non deve essere eliminato involontariamente](kms-controls.md#kms-3) 

 [[KMS.5] Le chiavi KMS non devono essere accessibili al pubblico](kms-controls.md#kms-5) 

 [[Lambda.1] Le politiche delle funzioni Lambda dovrebbero vietare l'accesso pubblico](lambda-controls.md#lambda-1) 

 [[Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati](lambda-controls.md#lambda-2) 

 [[Lambda.5] Le funzioni VPC Lambda devono funzionare in più zone di disponibilità](lambda-controls.md#lambda-5) 

 [[Macie.1] Amazon Macie dovrebbe essere abilitato](macie-controls.md#macie-1) 

 [[Macie.2] Il rilevamento automatico dei dati sensibili di Macie deve essere abilitato](macie-controls.md#macie-2) 

 [[MQ.2] I broker ActiveMQ devono trasmettere i log di controllo a CloudWatch](mq-controls.md#mq-2) 

 [[MQ.3] I broker Amazon MQ dovrebbero avere abilitato l'aggiornamento automatico delle versioni secondarie](mq-controls.md#mq-3) 

 [[MSK.1] I cluster MSK devono essere crittografati durante il transito tra i nodi del broker](msk-controls.md#msk-1) 

 [[MSK.3] I connettori MSK Connect devono essere crittografati in transito](msk-controls.md#msk-3) 

 [[MSK.4] L'accesso pubblico ai cluster MSK dovrebbe essere disabilitato](msk-controls.md#msk-4) 

 [[MSK.5] I connettori MSK devono avere la registrazione abilitata](msk-controls.md#msk-5) 

 [[MSK.6] I cluster MSK devono disabilitare l'accesso non autenticato](msk-controls.md#msk-6) 

 [[Neptune.1] I cluster Neptune DB devono essere crittografati a riposo](neptune-controls.md#neptune-1) 

 [[Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch](neptune-controls.md#neptune-2) 

 [[Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche](neptune-controls.md#neptune-3) 

 [[Neptune.4] I cluster Neptune DB devono avere la protezione da eliminazione abilitata](neptune-controls.md#neptune-4) 

 [[Neptune.5] I cluster Neptune DB devono avere i backup automatici abilitati](neptune-controls.md#neptune-5) 

 [[Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive](neptune-controls.md#neptune-6) 

 [[Neptune.7] I cluster Neptune DB devono avere l'autenticazione del database IAM abilitata](neptune-controls.md#neptune-7) 

 [[Neptune.8] I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee](neptune-controls.md#neptune-8) 

 [[NetworkFirewall.2] La registrazione del Network Firewall deve essere abilitata](networkfirewall-controls.md#networkfirewall-2) 

 [[NetworkFirewall.3] Le policy di Network Firewall devono avere almeno un gruppo di regole associato](networkfirewall-controls.md#networkfirewall-3) 

 [[NetworkFirewall.4] L'azione stateless predefinita per le policy del Network Firewall dovrebbe essere drop or forward per pacchetti completi](networkfirewall-controls.md#networkfirewall-4) 

 [[NetworkFirewall.5] L'azione stateless predefinita per le policy del Network Firewall dovrebbe essere drop or forward per i pacchetti frammentati](networkfirewall-controls.md#networkfirewall-5) 

 [[NetworkFirewall.6] Il gruppo di regole Stateless Network Firewall non deve essere vuoto](networkfirewall-controls.md#networkfirewall-6) 

 [[NetworkFirewall.9] I firewall Network Firewall devono avere la protezione da eliminazione abilitata](networkfirewall-controls.md#networkfirewall-9) 

 [[NetworkFirewall.10] I firewall Network Firewall devono avere la protezione da cambio di sottorete abilitata](networkfirewall-controls.md#networkfirewall-10) 

 [I OpenSearch domini [Opensearch.1] devono avere la crittografia a riposo abilitata](opensearch-controls.md#opensearch-1) 

 [I OpenSearch domini [Opensearch.2] non devono essere accessibili al pubblico](opensearch-controls.md#opensearch-2) 

 [I OpenSearch domini [Opensearch.3] devono crittografare i dati inviati tra i nodi](opensearch-controls.md#opensearch-3) 

 [La registrazione degli errori del OpenSearch dominio [Opensearch.4] nei log dovrebbe essere abilitata CloudWatch](opensearch-controls.md#opensearch-4) 

 [I OpenSearch domini [Opensearch.5] devono avere la registrazione di controllo abilitata](opensearch-controls.md#opensearch-5) 

 [I OpenSearch domini [Opensearch.6] devono avere almeno tre nodi di dati](opensearch-controls.md#opensearch-6) 

 [I OpenSearch domini [Opensearch.7] devono avere un controllo degli accessi granulare abilitato](opensearch-controls.md#opensearch-7) 

 [[Opensearch.8] Le connessioni ai OpenSearch domini devono essere crittografate utilizzando la più recente politica di sicurezza TLS](opensearch-controls.md#opensearch-8) 

 [Nei OpenSearch domini [Opensearch.10] deve essere installato l'ultimo aggiornamento software](opensearch-controls.md#opensearch-10) 

 [L'autorità di certificazione AWS Private CA principale [PCA.1] deve essere disabilitata](pca-controls.md#pca-1) 

 [[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2) 

 [[RDS.1] L'istantanea RDS deve essere privata](rds-controls.md#rds-1) 

 [[RDS.2] Le istanze DB RDS dovrebbero vietare l'accesso pubblico, come determinato dalla configurazione PubliclyAccessible](rds-controls.md#rds-2) 

 [[RDS.3] Le istanze database RDS devono avere la crittografia dei dati inattivi abilitata](rds-controls.md#rds-3) 

 [[RDS.4] Le istantanee dei cluster RDS e le istantanee del database devono essere crittografate quando sono inattive](rds-controls.md#rds-4) 

 [[RDS.5] Le istanze DB RDS devono essere configurate con più zone di disponibilità](rds-controls.md#rds-5) 

 [[RDS.6] Il monitoraggio avanzato deve essere configurato per le istanze DB RDS](rds-controls.md#rds-6) 

 [[RDS.7] I cluster RDS devono avere la protezione da eliminazione abilitata](rds-controls.md#rds-7) 

 [[RDS.8] Le istanze DB RDS devono avere la protezione da eliminazione abilitata](rds-controls.md#rds-8) 

 [[RDS.9] Le istanze DB RDS devono pubblicare i log nei registri CloudWatch](rds-controls.md#rds-9) 

 [[RDS.10] L'autenticazione IAM deve essere configurata per le istanze RDS](rds-controls.md#rds-10) 

 [[RDS.11] Le istanze RDS devono avere i backup automatici abilitati](rds-controls.md#rds-11) 

 [[RDS.12] L'autenticazione IAM deve essere configurata per i cluster RDS](rds-controls.md#rds-12) 

 [[RDS.13] Gli aggiornamenti automatici delle versioni secondarie di RDS devono essere abilitati](rds-controls.md#rds-13) 

 [[RDS.14] I cluster Amazon Aurora devono avere il backtracking abilitato](rds-controls.md#rds-14) 

 [[RDS.15] I cluster RDS DB devono essere configurati per più zone di disponibilità](rds-controls.md#rds-15) 

 [[RDS.16] I cluster Aurora DB devono essere configurati per copiare i tag nelle istantanee del DB](rds-controls.md#rds-16) 

 [[RDS.17] Le istanze DB RDS devono essere configurate per copiare i tag negli snapshot](rds-controls.md#rds-17) 

 [[RDS.19] Le sottoscrizioni esistenti per le notifiche di eventi RDS devono essere configurate per gli eventi critici del cluster](rds-controls.md#rds-19) 

 [[RDS.20] Le sottoscrizioni di notifica degli eventi RDS esistenti devono essere configurate per gli eventi critici delle istanze di database](rds-controls.md#rds-20) 

 [[RDS.21] È necessario configurare un abbonamento alle notifiche di eventi RDS per gli eventi critici del gruppo di parametri del database](rds-controls.md#rds-21) 

 [[RDS.22] È necessario configurare un abbonamento alle notifiche di eventi RDS per gli eventi critici dei gruppi di sicurezza del database](rds-controls.md#rds-22) 

 [[RDS.23] Le istanze RDS non devono utilizzare una porta predefinita del motore di database](rds-controls.md#rds-23) 

 [[RDS.24] I cluster di database RDS devono utilizzare un nome utente di amministratore personalizzato](rds-controls.md#rds-24) 

 [[RDS.25] Le istanze del database RDS devono utilizzare un nome utente di amministratore personalizzato](rds-controls.md#rds-25) 

 [[RDS.27] I cluster RDS DB devono essere crittografati quando sono inattivi](rds-controls.md#rds-27) 

 [[RDS.34] I cluster Aurora MySQL DB devono pubblicare i log di controllo nei registri CloudWatch](rds-controls.md#rds-34) 

 [[RDS.35] Nei cluster RDS DB deve essere abilitato l'aggiornamento automatico delle versioni secondarie](rds-controls.md#rds-35) 

 [[RDS.36] Le istanze DB di RDS per PostgreSQL devono pubblicare i log nei log CloudWatch](rds-controls.md#rds-36) 

 [[RDS.37] I cluster Aurora PostgreSQL DB devono pubblicare i log nei log CloudWatch](rds-controls.md#rds-37) 

 [[RDS.40] Le istanze DB di RDS per SQL Server devono pubblicare i log nei log CloudWatch](rds-controls.md#rds-40) 

 [[RDS.41] Le istanze RDS per SQL Server DB devono essere crittografate in transito](rds-controls.md#rds-41) 

 [[RDS.42] Le istanze RDS per MariaDB DB dovrebbero pubblicare i log su Logs CloudWatch](rds-controls.md#rds-42) 

 [[RDS.43] I proxy RDS DB devono richiedere la crittografia TLS per le connessioni](rds-controls.md#rds-43) 

 [[RDS.44] Le istanze RDS per MariaDB DB devono essere crittografate durante il transito](rds-controls.md#rds-44) 

 [[RDS.45] I cluster Aurora MySQL DB devono avere la registrazione di controllo abilitata](rds-controls.md#rds-45) 

 [[RDS.46] Le istanze DB RDS non devono essere distribuite in sottoreti pubbliche con percorsi verso gateway Internet](rds-controls.md#rds-46) 

 [[RDS.47] I cluster RDS per PostgreSQL DB devono essere configurati per copiare i tag nelle istantanee del DB](rds-controls.md#rds-47) 

 [[RDS.48] I cluster RDS per MySQL DB devono essere configurati per copiare i tag nelle istantanee del DB](rds-controls.md#rds-48) 

 [[RDS.50] I cluster RDS DB devono avere un periodo di conservazione dei backup sufficiente](rds-controls.md#rds-50) 

 [[Redshift.1] I cluster Amazon Redshift dovrebbero vietare l'accesso pubblico](redshift-controls.md#redshift-1) 

 [[Redshift.2] Le connessioni ai cluster Amazon Redshift devono essere crittografate in transito](redshift-controls.md#redshift-2) 

 [[Redshift.3] I cluster Amazon Redshift devono avere le istantanee automatiche abilitate](redshift-controls.md#redshift-3) 

 [[Redshift.4] I cluster Amazon Redshift devono avere la registrazione di controllo abilitata](redshift-controls.md#redshift-4) 

 [[Redshift.6] Amazon Redshift dovrebbe avere gli upgrade automatici alle versioni principali abilitati](redshift-controls.md#redshift-6) 

 [[Redshift.7] I cluster Redshift devono utilizzare un routing VPC avanzato](redshift-controls.md#redshift-7) 

 [[Redshift.8] I cluster Amazon Redshift non devono utilizzare il nome utente predefinito di amministratore](redshift-controls.md#redshift-8) 

 [[Redshift.10] I cluster Redshift devono essere crittografati a riposo](redshift-controls.md#redshift-10) 

 [[Redshift.15] I gruppi di sicurezza Redshift dovrebbero consentire l'ingresso sulla porta del cluster solo da origini limitate](redshift-controls.md#redshift-15) 

 [[Redshift.18] I cluster Redshift devono avere implementazioni Multi-AZ abilitate](redshift-controls.md#redshift-18) 

 [[RedshiftServerless.1] I gruppi di lavoro Serverless di Amazon Redshift devono utilizzare un routing VPC avanzato](redshiftserverless-controls.md#redshiftserverless-1) 

 [[RedshiftServerless.2] Le connessioni ai gruppi di lavoro Serverless Redshift devono essere necessarie per utilizzare SSL](redshiftserverless-controls.md#redshiftserverless-2) 

 [[RedshiftServerless.3] I gruppi di lavoro Serverless di Redshift dovrebbero vietare l'accesso pubblico](redshiftserverless-controls.md#redshiftserverless-3) 

 [[RedshiftServerless.5] Gli spazi dei nomi Redshift Serverless non devono utilizzare il nome utente amministratore predefinito](redshiftserverless-controls.md#redshiftserverless-5) 

 [[RedshiftServerless.6] I namespace Redshift Serverless dovrebbero esportare i log in Logs CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 

 [[S3.1] I bucket generici S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-1) 

 [[S3.2] I bucket S3 per uso generico dovrebbero bloccare l'accesso pubblico in lettura](s3-controls.md#s3-2) 

 [[S3.3] I bucket generici S3 dovrebbero bloccare l'accesso pubblico in scrittura](s3-controls.md#s3-3) 

 [[S3.5] I bucket S3 per uso generico devono richiedere l'utilizzo di SSL](s3-controls.md#s3-5) 

 [[S3.6] Le policy generiche relative ai bucket di S3 dovrebbero limitare l'accesso ad altri Account AWS](s3-controls.md#s3-6) 

 [[S3.8] I bucket generici S3 dovrebbero bloccare l'accesso pubblico](s3-controls.md#s3-8) 

 [[S3.9] I bucket generici S3 devono avere la registrazione degli accessi al server abilitata](s3-controls.md#s3-9) 

 [[S3.12] non ACLs deve essere usato per gestire l'accesso degli utenti ai bucket generici S3](s3-controls.md#s3-12) 

 [[S3.13] I bucket generici S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-13) 

 [[S3.19] I punti di accesso S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-19) 

 [[S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-24) 

 [[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-25) 

 [[SageMaker.1] Le istanze di SageMaker notebook Amazon non devono avere accesso diretto a Internet](sagemaker-controls.md#sagemaker-1) 

 [[SageMaker.2] le istanze dei SageMaker notebook devono essere avviate in un VPC personalizzato](sagemaker-controls.md#sagemaker-2) 

 [[SageMaker.3] Gli utenti non devono avere accesso root alle SageMaker istanze dei notebook](sagemaker-controls.md#sagemaker-3) 

 [[SageMaker.4] Le varianti di produzione di SageMaker endpoint devono avere un numero iniziale di istanze superiore a 1](sagemaker-controls.md#sagemaker-4) 

 [[SageMaker.5] i SageMaker modelli devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-5) 

 [[SageMaker.8] le istanze SageMaker notebook devono essere eseguite su piattaforme supportate](sagemaker-controls.md#sagemaker-8) 

 [[SageMaker.9] le definizioni dei lavori relativi alla qualità SageMaker dei dati devono avere la crittografia del traffico tra container abilitata](sagemaker-controls.md#sagemaker-9) 

 [[SageMaker.10] le definizioni dei processi di spiegabilità dei SageMaker modelli devono avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-10) 

 [[SageMaker.11] le definizioni dei processi di qualità SageMaker dei dati devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-11) 

 [[SageMaker.12] Le definizioni dei job di polarizzazione SageMaker del modello devono avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-12) 

 [[SageMaker.13] le definizioni dei processi di qualità SageMaker del modello dovrebbero avere la crittografia del traffico tra container abilitata](sagemaker-controls.md#sagemaker-13) 

 [[SageMaker.14] le pianificazioni di SageMaker monitoraggio dovrebbero avere l'isolamento della rete abilitato](sagemaker-controls.md#sagemaker-14) 

 [[SageMaker.15] Le definizioni dei job di SageMaker model bias dovrebbero avere abilitata la crittografia del traffico tra container](sagemaker-controls.md#sagemaker-15) 

 [[SecretsManager.1] I segreti di Secrets Manager devono avere la rotazione automatica abilitata](secretsmanager-controls.md#secretsmanager-1) 

 [[SecretsManager.2] I segreti di Secrets Manager configurati con rotazione automatica dovrebbero ruotare correttamente](secretsmanager-controls.md#secretsmanager-2) 

 [[SecretsManager.3] Rimuovi i segreti inutilizzati di Secrets Manager](secretsmanager-controls.md#secretsmanager-3) 

 [[SecretsManager.4] I segreti di Secrets Manager devono essere ruotati entro un determinato numero di giorni](secretsmanager-controls.md#secretsmanager-4) 

 [[ServiceCatalog.1] I portafogli Service Catalog devono essere condivisi solo all'interno di un'organizzazione AWS](servicecatalog-controls.md#servicecatalog-1) 

 [[SES.3] I set di configurazione SES devono avere TLS abilitato per l'invio di e-mail](ses-controls.md#ses-3) 

 [[SNS.4] Le politiche di accesso agli argomenti SNS non dovrebbero consentire l'accesso pubblico](sns-controls.md#sns-4) 

 [[SQS.1] Le code di Amazon SQS devono essere crittografate quando sono inattive](sqs-controls.md#sqs-1) 

 [[SQS.3] Le politiche di accesso alla coda SQS non devono consentire l'accesso pubblico](sqs-controls.md#sqs-3) 

 [[SSM.1] Le istanze Amazon EC2 devono essere gestite da AWS Systems Manager](ssm-controls.md#ssm-1) 

 [[SSM.2] Le istanze Amazon EC2 gestite da Systems Manager devono avere uno stato di conformità delle patch pari a CONFORME dopo l'installazione della patch](ssm-controls.md#ssm-2) 

 [[SSM.3] Le istanze Amazon EC2 gestite da Systems Manager devono avere uno stato di conformità dell'associazione pari a COMPLIANT](ssm-controls.md#ssm-3) 

 [[SSM.4] I documenti SSM non devono essere pubblici](ssm-controls.md#ssm-4) 

 [[SSM.6] SSM Automation dovrebbe avere la registrazione abilitata CloudWatch](ssm-controls.md#ssm-6) 

 [[SSM.7] I documenti SSM devono avere l'impostazione di condivisione pubblica a blocchi abilitata](ssm-controls.md#ssm-7) 

 [[StepFunctions.1] Le macchine a stati Step Functions dovrebbero avere la registrazione attivata](stepfunctions-controls.md#stepfunctions-1) 

 [[Transfer.2] I server Transfer Family non devono utilizzare il protocollo FTP per la connessione agli endpoint](transfer-controls.md#transfer-2) 

 [[Transfer.3] I connettori Transfer Family devono avere la registrazione abilitata](transfer-controls.md#transfer-3) 

 [[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1) 

 [[WAF.2] Le regole regionali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-2) 

 [[WAF.3] I gruppi di regole regionali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-3) 

 [[WAF.4] Il sito Web regionale AWS WAF classico ACLs deve avere almeno una regola o un gruppo di regole](waf-controls.md#waf-4) 

 [[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6) 

 [[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7) 

 [[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8) 

 [[WAF.10] AWS WAF web ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-10) 

 [Le regole [WAF.12] devono avere le metriche abilitate AWS WAF CloudWatch](waf-controls.md#waf-12) 

 [[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-1) 

 [[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi](workspaces-controls.md#workspaces-2) 

# AWS Standard di etichettatura delle risorse in Security Hub CSPM
<a name="standards-tagging"></a>

Lo standard AWS Resource Tagging, sviluppato da AWS Security Hub CSPM, ti aiuta a determinare se nelle tue AWS risorse mancano dei tag. I *tag* sono coppie chiave-valore che fungono da metadati per l'organizzazione delle risorse. AWS Con la maggior parte AWS delle risorse, è possibile aggiungere tag a una risorsa al momento della creazione della risorsa o dopo averla creata. Esempi di risorse includono le CloudFront distribuzioni Amazon, le istanze Amazon Elastic Compute Cloud (Amazon EC2) e i segreti in. Gestione dei segreti AWS I tag possono aiutarti a gestire, identificare, organizzare, cercare e filtrare le risorse. AWS 

Ogni tag è costituito da due parti:
+ Una chiave di tag, ad esempio `CostCenter``Environment`, o. `Project` Le chiavi tag distinguono tra maiuscole e minuscole.
+ Un valore di tag, ad esempio o. `111122223333` `Production` Come le chiavi dei tag, i valori dei tag distinguono tra maiuscole e minuscole.

È possibile utilizzare i tag per classificare le risorse in base allo scopo, al proprietario, all'ambiente o ad altri criteri. Per informazioni sull'aggiunta di tag alle AWS risorse, consulta la Guida per l'[utente di Tagging AWS Resources and Tag Editor](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

Per ogni controllo che si applica allo standard AWS Resource Tagging in Security Hub CSPM, puoi opzionalmente utilizzare il parametro supported per specificare le chiavi dei tag che desideri vengano controllate dal controllo. Se non specificate alcuna chiave di tag, il controllo verifica solo l'esistenza di almeno una chiave di tag e fallisce se una risorsa non ha alcuna chiave di tag.

Prima di abilitare lo standard AWS Resource Tagging, è importante abilitare e configurare la registrazione delle risorse in AWS Config. Quando configurate la registrazione delle risorse, assicuratevi anche di abilitarla per tutti i tipi di AWS risorse controllate dai controlli che si applicano allo standard. In caso contrario, Security Hub CSPM potrebbe non essere in grado di valutare le risorse appropriate e generare risultati accurati per i controlli che si applicano allo standard. Per ulteriori informazioni, incluso un elenco dei tipi di risorse da registrare, vedere. [ AWS Config Risorse necessarie per i risultati del controllo](controls-config-resources.md)

Dopo aver abilitato lo standard AWS Resource Tagging, iniziate a ricevere i risultati dei controlli che si applicano allo standard. Tieni presente che possono essere necessarie fino a 18 ore prima che Security Hub CSPM generi risultati per i controlli che utilizzano la stessa regola AWS Config collegata ai servizi dei controlli che si applicano ad altri standard abilitati. Per ulteriori informazioni, consulta [Pianificazione dell'esecuzione dei controlli di sicurezza](securityhub-standards-schedule.md).

Lo standard AWS Resource Tagging ha il seguente Amazon Resource Name (ARN)`arn:aws:securityhub:region::standards/aws-resource-tagging-standard/v/1.0.0`:, *region* dove si trova il codice regionale applicabile. Regione AWS Puoi anche utilizzare il [GetEnabledStandards](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html)funzionamento dell'API CSPM Security Hub per recuperare l'ARN di uno standard attualmente abilitato.

**Nota**  
Lo [standard AWS Resource Tagging](#standards-tagging) non è disponibile nelle regioni Asia Pacifico (Nuova Zelanda) e Asia Pacifico (Taipei).

## Controlli che si applicano allo standard
<a name="tagging-standard-controls"></a>

L'elenco seguente specifica quali controlli CSPM AWS di Security Hub si applicano allo standard AWS Resource Tagging (v1.0.0). Per esaminare i dettagli di un controllo, scegli il controllo.
+ [[ACM.3] I certificati ACM devono essere etichettati](acm-controls.md#acm-3)
+ [[Amplify.1] Le app Amplify devono essere taggate](amplify-controls.md#amplify-1)
+ [[Amplify.2] I rami Amplify devono essere etichettati](amplify-controls.md#amplify-2)
+ [[AppConfig.1] AWS AppConfig le applicazioni devono essere etichettate](appconfig-controls.md#appconfig-1)
+ [[AppConfig.2] i profili AWS AppConfig di configurazione devono essere etichettati](appconfig-controls.md#appconfig-2)
+ [[AppConfig.3] AWS AppConfig gli ambienti devono essere etichettati](appconfig-controls.md#appconfig-3)
+ [[AppConfig.4] le associazioni di AWS AppConfig estensioni devono essere etichettate](appconfig-controls.md#appconfig-4)
+ [[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati](appflow-controls.md#appflow-1)
+ [[AppRunner.1] I servizi App Runner devono essere etichettati](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] I connettori VPC App Runner devono essere etichettati](apprunner-controls.md#apprunner-2)
+ [[AppSync.4] AWS AppSync APIs GraphQL dovrebbe essere taggato](appsync-controls.md#appsync-4)
+ [[Athena.2] I cataloghi di dati Athena devono essere etichettati](athena-controls.md#athena-2)
+ [[Athena.3] I gruppi di lavoro Athena devono essere etichettati](athena-controls.md#athena-3)
+ [[AutoScaling.10] I gruppi EC2 Auto Scaling devono essere etichettati](autoscaling-controls.md#autoscaling-10)
+ [[Backup.2] i punti di AWS Backup ripristino devono essere etichettati](backup-controls.md#backup-2)
+ [I AWS Backup vault [Backup.3] devono essere etichettati](backup-controls.md#backup-3)
+ [[Backup.4] i piani di AWS Backup report devono essere etichettati](backup-controls.md#backup-4)
+ [[Backup.5] i piani di AWS Backup backup devono essere etichettati](backup-controls.md#backup-5)
+ [[Batch.1] Le code di processi in batch devono essere etichettate](batch-controls.md#batch-1)
+ [[Batch.2] Le politiche di pianificazione dei batch devono essere etichettate](batch-controls.md#batch-2)
+ [[Batch.3] Gli ambienti di calcolo in batch devono essere etichettati](batch-controls.md#batch-3)
+ [[Batch.4] Le proprietà delle risorse di calcolo negli ambienti di calcolo Batch gestiti devono essere etichettate](batch-controls.md#batch-4)
+ [[CloudFormation.2] CloudFormation gli stack devono essere etichettati](cloudformation-controls.md#cloudformation-2)
+ [[CloudFront.14] le distribuzioni devono essere etichettate CloudFront](cloudfront-controls.md#cloudfront-14)
+ [[CloudTrail.9] i percorsi devono essere etichettati CloudTrail](cloudtrail-controls.md#cloudtrail-9)
+ [[CodeArtifact.1] i CodeArtifact repository devono essere etichettati](codeartifact-controls.md#codeartifact-1)
+ [[CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati](connect-controls.md#connect-1)
+ [[DataSync.2] DataSync le attività devono essere etichettate](datasync-controls.md#datasync-2)
+ [[Detective.1] I grafici del comportamento dei Detective devono essere etichettati](detective-controls.md#detective-1)
+ [[DMS.2] I certificati DMS devono essere etichettati](dms-controls.md#dms-2)
+ [[DMS.3] Le sottoscrizioni agli eventi DMS devono essere contrassegnate](dms-controls.md#dms-3)
+ [[DMS.4] Le istanze di replica DMS devono essere contrassegnate](dms-controls.md#dms-4)
+ [[DMS.5] I sottoreti di replica DMS devono essere etichettati](dms-controls.md#dms-5)
+ [[DynamoDB.5] Le tabelle DynamoDB devono essere etichettate](dynamodb-controls.md#dynamodb-5)
+ [[EC2.33] Gli allegati del gateway di transito EC2 devono essere etichettati](ec2-controls.md#ec2-33)
+ [[EC2.34] Le tabelle delle rotte dei gateway di transito EC2 devono essere contrassegnate](ec2-controls.md#ec2-34)
+ [[EC2.35] Le interfacce di rete EC2 devono essere etichettate](ec2-controls.md#ec2-35)
+ [[EC2.36] I gateway per i clienti EC2 devono essere etichettati](ec2-controls.md#ec2-36)
+ [[EC2.37] Gli indirizzi IP elastici EC2 devono essere etichettati](ec2-controls.md#ec2-37)
+ [[EC2.38] Le istanze EC2 devono essere etichettate](ec2-controls.md#ec2-38)
+ [[EC2.39] I gateway Internet EC2 devono essere etichettati](ec2-controls.md#ec2-39)
+ [[EC2.40] I gateway NAT EC2 devono essere etichettati](ec2-controls.md#ec2-40)
+ [[EC2.41] La rete EC2 deve essere etichettata ACLs](ec2-controls.md#ec2-41)
+ [[EC2.42] Le tabelle di routing EC2 devono essere etichettate](ec2-controls.md#ec2-42)
+ [[EC2.43] I gruppi di sicurezza EC2 devono essere etichettati](ec2-controls.md#ec2-43)
+ [[EC2.44] Le sottoreti EC2 devono essere etichettate](ec2-controls.md#ec2-44)
+ [[EC2.45] I volumi EC2 devono essere etichettati](ec2-controls.md#ec2-45)
+ [[EC2.46] Amazon VPCs dovrebbe essere taggato](ec2-controls.md#ec2-46)
+ [[EC2.47] I servizi endpoint Amazon VPC devono essere etichettati](ec2-controls.md#ec2-47)
+ [[EC2.48] I log di flusso di Amazon VPC devono essere etichettati](ec2-controls.md#ec2-48)
+ [[EC2.49] Le connessioni peering Amazon VPC devono essere etichettate](ec2-controls.md#ec2-49)
+ [[EC2.50] I gateway VPN EC2 devono essere etichettati](ec2-controls.md#ec2-50)
+ [[EC2.52] I gateway di transito EC2 devono essere etichettati](ec2-controls.md#ec2-52)
+ [[EC2.174] I set di opzioni DHCP EC2 devono essere etichettati](ec2-controls.md#ec2-174)
+ [[EC2.175] I modelli di lancio di EC2 devono essere etichettati](ec2-controls.md#ec2-175)
+ [[EC2.176] Gli elenchi di prefissi EC2 devono essere etichettati](ec2-controls.md#ec2-176)
+ [[EC2.177] Le sessioni di Traffic Mirror di EC2 devono essere etichettate](ec2-controls.md#ec2-177)
+ [[EC2.178] I filtri Traffic Mirror EC2 devono essere etichettati](ec2-controls.md#ec2-178)
+ [[EC2.179] Gli obiettivi del traffic mirror di EC2 devono essere etichettati](ec2-controls.md#ec2-179)
+ [[ECR.4] Gli archivi pubblici ECR devono essere etichettati](ecr-controls.md#ecr-4)
+ [[ECS.13] I servizi ECS devono essere etichettati](ecs-controls.md#ecs-13)
+ [[ECS.14] I cluster ECS devono essere etichettati](ecs-controls.md#ecs-14)
+ [[ECS.15] Le definizioni delle attività ECS devono essere contrassegnate](ecs-controls.md#ecs-15)
+ [[EFS.5] I punti di accesso EFS devono essere etichettati](efs-controls.md#efs-5)
+ [[EKS.6] I cluster EKS devono essere etichettati](eks-controls.md#eks-6)
+ [[EKS.7] Le configurazioni dei provider di identità EKS devono essere contrassegnate](eks-controls.md#eks-7)
+ [[ES.9] I domini Elasticsearch devono essere etichettati](es-controls.md#es-9)
+ [[EventBridge.2] i bus EventBridge degli eventi devono essere etichettati](eventbridge-controls.md#eventbridge-2)
+ [[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate](frauddetector-controls.md#frauddetector-4)
+ [[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati](globalaccelerator-controls.md#globalaccelerator-1)
+ [[Glue.1] i AWS Glue lavori devono essere etichettati](glue-controls.md#glue-1)
+ [[GuardDuty.2] GuardDuty i filtri devono essere etichettati](guardduty-controls.md#guardduty-2)
+ [[GuardDuty.3] GuardDuty IPSets deve essere taggato](guardduty-controls.md#guardduty-3)
+ [[GuardDuty.4] i GuardDuty rilevatori devono essere etichettati](guardduty-controls.md#guardduty-4)
+ [[IAM.23] Gli analizzatori IAM Access Analyzer devono essere etichettati](iam-controls.md#iam-23)
+ [[IAM.24] I ruoli IAM devono essere etichettati](iam-controls.md#iam-24)
+ [[IAM.25] Gli utenti IAM devono essere etichettati](iam-controls.md#iam-25)
+ [[IoT.1] i profili di AWS IoT Device Defender sicurezza devono essere etichettati](iot-controls.md#iot-1)
+ [[IoT.2] le azioni di AWS IoT Core mitigazione devono essere etichettate](iot-controls.md#iot-2)
+ [[IoT.3] le AWS IoT Core dimensioni devono essere etichettate](iot-controls.md#iot-3)
+ [gli AWS IoT Core autorizzatori [IoT.4] devono essere etichettati](iot-controls.md#iot-4)
+ [[IoT.5] gli alias dei AWS IoT Core ruoli devono essere etichettati](iot-controls.md#iot-5)
+ [[IoT.6] AWS IoT Core le politiche devono essere etichettate](iot-controls.md#iot-6)
+ [[Io TEvents .1] Gli input di AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] I modelli di rilevatori AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] I modelli di allarme AWS IoT Events devono essere etichettati](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] I modelli di SiteWise asset AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] Le SiteWise dashboard AWS IoT devono essere etichettate](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] I SiteWise gateway AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] I SiteWise portali AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] I SiteWise progetti AWS IoT devono essere etichettati](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate](ivs-controls.md#ivs-1)
+ [[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate](ivs-controls.md#ivs-2)
+ [[IVS.3] I canali IVS devono essere etichettati](ivs-controls.md#ivs-3)
+ [[Keyspaces.1] Gli spazi chiave di Amazon Keyspaces devono essere etichettati](keyspaces-controls.md#keyspaces-1)
+ [[Kinesis.2] Gli stream Kinesis devono essere etichettati](kinesis-controls.md#kinesis-2)
+ [[Lambda.6] Le funzioni Lambda devono essere etichettate](lambda-controls.md#lambda-6)
+ [[MQ.4] I broker Amazon MQ devono essere etichettati](mq-controls.md#mq-4)
+ [[NetworkFirewall.7] I firewall Network Firewall devono essere etichettati](networkfirewall-controls.md#networkfirewall-7)
+ [[NetworkFirewall.8] Le politiche firewall di Network Firewall devono essere etichettate](networkfirewall-controls.md#networkfirewall-8)
+ [I OpenSearch domini [Opensearch.9] devono essere etichettati](opensearch-controls.md#opensearch-9)
+ [[PCA.2] Le autorità di certificazione CA AWS private devono essere etichettate](pca-controls.md#pca-2)
+ [[RDS.28] I cluster RDS DB devono essere etichettati](rds-controls.md#rds-28)
+ [[RDS.29] Gli snapshot del cluster RDS DB devono essere etichettati](rds-controls.md#rds-29)
+ [[RDS.30] Le istanze DB RDS devono essere etichettate](rds-controls.md#rds-30)
+ [[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati](rds-controls.md#rds-31)
+ [[RDS.32] Gli snapshot RDS DB devono essere etichettati](rds-controls.md#rds-32)
+ [[RDS.33] I gruppi di sottoreti RDS DB devono essere etichettati](rds-controls.md#rds-33)
+ [[Redshift.11] I cluster Redshift devono essere etichettati](redshift-controls.md#redshift-11)
+ [[Redshift.12] Le sottoscrizioni alle notifiche degli eventi Redshift devono essere contrassegnate](redshift-controls.md#redshift-12)
+ [[Redshift.13] Le istantanee del cluster Redshift devono essere etichettate](redshift-controls.md#redshift-13)
+ [[Redshift.14] I gruppi di sottoreti del cluster Redshift devono essere etichettati](redshift-controls.md#redshift-14)
+ [[Redshift.17] I gruppi di parametri del cluster Redshift devono essere etichettati](redshift-controls.md#redshift-17)
+ [[Route53.1] I controlli sanitari della Route 53 devono essere etichettati](route53-controls.md#route53-1)
+ [[SageMaker.6] le configurazioni delle immagini delle SageMaker app devono essere contrassegnate](sagemaker-controls.md#sagemaker-6)
+ [[SageMaker.7] SageMaker le immagini devono essere taggate](sagemaker-controls.md#sagemaker-7)
+ [[SecretsManager.5] I segreti di Secrets Manager devono essere etichettati](secretsmanager-controls.md#secretsmanager-5)
+ [[SES.1] Gli elenchi di contatti SES devono essere etichettati](ses-controls.md#ses-1)
+ [[SES.2] I set di configurazione SES devono essere etichettati](ses-controls.md#ses-2)
+ [[SNS.3] Gli argomenti SNS devono essere etichettati](sns-controls.md#sns-3)
+ [[SQS.2] Le code SQS devono essere etichettate](sqs-controls.md#sqs-2)
+ [[SSM.5] I documenti SSM devono essere etichettati](ssm-controls.md#ssm-5)
+ [[StepFunctions.2] Le attività di Step Functions devono essere etichettate](stepfunctions-controls.md#stepfunctions-2)
+ [I AWS Transfer Family flussi di lavoro [Transfer.1] devono essere etichettati](transfer-controls.md#transfer-1)
+ [[Transfer.4] Gli accordi Transfer Family devono essere etichettati](transfer-controls.md#transfer-4)
+ [[Transfer.5] I certificati Transfer Family devono essere etichettati](transfer-controls.md#transfer-5)
+ [[Transfer.6] I connettori Transfer Family devono essere etichettati](transfer-controls.md#transfer-6)
+ [[Transfer.7] I profili Transfer Family devono essere etichettati](transfer-controls.md#transfer-7)

# Benchmark CIS AWS Foundations nel Security Hub CSPM
<a name="cis-aws-foundations-benchmark"></a>

Il benchmark Center for Internet Security (CIS) AWS Foundations funge da set di best practice per la configurazione della sicurezza per. AWS Queste best practice accettate dal settore forniscono procedure chiare di implementazione e valutazione. step-by-step Dai sistemi operativi ai servizi cloud e ai dispositivi di rete, i controlli di questo benchmark aiutano a proteggere i sistemi specifici utilizzati dall'organizzazione. 

AWS Security Hub CSPM supporta le versioni CIS AWS Foundations Benchmark 5.0.0, 3.0.0, 1.4.0 e 1.2.0. Questa pagina elenca i controlli di sicurezza supportati da ciascuna versione. Fornisce inoltre un confronto tra le versioni.

## CIS AWS Foundations Benchmark versione 5.0.0
<a name="cis5v0-standard"></a>

Security Hub CSPM supporta la versione 5.0.0 (v5.0.0) del benchmark CIS Foundations. AWS Security Hub CSPM ha soddisfatto i requisiti della certificazione del software di sicurezza CIS e ha ottenuto la certificazione del software di sicurezza CIS per i seguenti benchmark CIS: 
+ Benchmark CIS per CIS Foundations Benchmark, v5.0.0, livello 1 AWS 
+ Benchmark CIS per CIS Foundations Benchmark, v5.0.0, livello 2 AWS 

### Controlli che si applicano alla versione 5.0.0 di CIS Foundations Benchmark AWS
<a name="cis5v0-controls"></a>

[[Account.1] Le informazioni di contatto di sicurezza devono essere fornite per un Account AWS](account-controls.md#account-1)

[[CloudTrail.1] CloudTrail deve essere abilitato e configurato con almeno un percorso multiregionale che includa eventi di gestione di lettura e scrittura](cloudtrail-controls.md#cloudtrail-1)

[[CloudTrail.2] CloudTrail dovrebbe avere la crittografia a riposo abilitata](cloudtrail-controls.md#cloudtrail-2)

[[CloudTrail.4] la convalida dei file di CloudTrail registro dovrebbe essere abilitata](cloudtrail-controls.md#cloudtrail-4)

[[CloudTrail.7] Assicurati che la registrazione degli accessi al bucket S3 sia abilitata sul bucket S3 CloudTrail](cloudtrail-controls.md#cloudtrail-7)

[[Config.1] AWS Config deve essere abilitato e utilizzare il ruolo collegato al servizio per la registrazione delle risorse](config-controls.md#config-1)

[[EC2.2] I gruppi di sicurezza VPC predefiniti non dovrebbero consentire il traffico in entrata o in uscita](ec2-controls.md#ec2-2)

[[EC2.6] La registrazione del flusso in VPC deve essere abilitata in tutti i casi VPCs](ec2-controls.md#ec2-6)

[[EC2.7] La crittografia predefinita di EBS deve essere abilitata](ec2-controls.md#ec2-7)

[[EC2.8] Le istanze EC2 devono utilizzare Instance Metadata Service versione 2 () IMDSv2](ec2-controls.md#ec2-8)

[[EC2.21] La rete non ACLs dovrebbe consentire l'ingresso dalla porta 0.0.0.0/0 alla porta 22 o alla porta 3389](ec2-controls.md#ec2-21)

[[EC2.53] I gruppi di sicurezza EC2 non dovrebbero consentire l'accesso da 0.0.0.0/0 alle porte di amministrazione remota del server](ec2-controls.md#ec2-53)

[[EC2.54] I gruppi di sicurezza EC2 non dovrebbero consentire l'accesso da: :/0 alle porte di amministrazione remota del server](ec2-controls.md#ec2-54)

[[EFS.1] Elastic File System deve essere configurato per crittografare i dati dei file inattivi utilizzando AWS KMS](efs-controls.md#efs-1)

[[EFS.8] I file system EFS devono essere crittografati quando sono inattivi](efs-controls.md#efs-8)

[[IAM.2] Gli utenti IAM non devono avere policy IAM allegate](iam-controls.md#iam-2)

[[IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno](iam-controls.md#iam-3)

[[IAM.4] La chiave di accesso utente root IAM non dovrebbe esistere](iam-controls.md#iam-4)

[[IAM.5] MFA deve essere abilitata per tutti gli utenti IAM che dispongono di una password della console](iam-controls.md#iam-5)

[[IAM.6] L'autenticazione MFA per l'hardware deve essere abilitata per l'utente root](iam-controls.md#iam-6)

[[IAM.9] L'MFA deve essere abilitata per l'utente root](iam-controls.md#iam-9)

[[IAM.15] Assicurati che la politica delle password di IAM richieda una lunghezza minima della password pari o superiore a 14](iam-controls.md#iam-15)

[[IAM.16] Assicurati che la politica delle password di IAM impedisca il riutilizzo delle password](iam-controls.md#iam-16)

[[IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con Supporto AWS](iam-controls.md#iam-18)

[[IAM.22] Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse](iam-controls.md#iam-22)

[[IAM.26] I SSL/TLS certificati scaduti gestiti in IAM devono essere rimossi](iam-controls.md#iam-26)

[[IAM.27] Le identità IAM non devono avere la policy allegata AWSCloud ShellFullAccess](iam-controls.md#iam-27)

[[IAM.28] L'analizzatore di accesso esterno IAM Access Analyzer deve essere abilitato](iam-controls.md#iam-28)

[[KMS.4] la rotazione dei tasti dovrebbe essere abilitata AWS KMS](kms-controls.md#kms-4)

[[RDS.2] Le istanze DB RDS dovrebbero vietare l'accesso pubblico, come determinato dalla configurazione PubliclyAccessible](rds-controls.md#rds-2)

[[RDS.3] Le istanze database RDS devono avere la crittografia dei dati inattivi abilitata](rds-controls.md#rds-3)

[[RDS.5] Le istanze DB RDS devono essere configurate con più zone di disponibilità](rds-controls.md#rds-5)

[[RDS.13] Gli aggiornamenti automatici delle versioni secondarie di RDS devono essere abilitati](rds-controls.md#rds-13)

[[RDS.15] I cluster RDS DB devono essere configurati per più zone di disponibilità](rds-controls.md#rds-15)

[[S3.1] I bucket generici S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-1)

[[S3.5] I bucket S3 per uso generico devono richiedere l'utilizzo di SSL](s3-controls.md#s3-5)

[[S3.8] I bucket generici S3 dovrebbero bloccare l'accesso pubblico](s3-controls.md#s3-8)

[[S3.20] I bucket S3 per uso generico devono avere l'eliminazione MFA abilitata](s3-controls.md#s3-20)

[[S3.22] I bucket S3 per uso generico devono registrare gli eventi di scrittura a livello di oggetto](s3-controls.md#s3-22)

[[S3.23] I bucket S3 per uso generico devono registrare gli eventi di lettura a livello di oggetto](s3-controls.md#s3-23)

## AWS CIS Foundations Benchmark versione 3.0.0
<a name="cis3v0-standard"></a>

Security Hub CSPM supporta la versione 3.0.0 (v3.0.0) del benchmark CIS Foundations. AWS Security Hub CSPM ha soddisfatto i requisiti della certificazione del software di sicurezza CIS e ha ottenuto la certificazione del software di sicurezza CIS per i seguenti benchmark CIS: 
+ Benchmark CIS per CIS Foundations Benchmark, v3.0.0, livello 1 AWS 
+ Benchmark CIS per CIS Foundations Benchmark, v3.0.0, livello 2 AWS 

### Controlli che si applicano alla versione 3.0.0 di CIS Foundations Benchmark AWS
<a name="cis3v0-controls"></a>

[[Account.1] Le informazioni di contatto di sicurezza devono essere fornite per un Account AWS](account-controls.md#account-1)

[[CloudTrail.1] CloudTrail deve essere abilitato e configurato con almeno un percorso multiregionale che includa eventi di gestione di lettura e scrittura](cloudtrail-controls.md#cloudtrail-1)

[[CloudTrail.2] CloudTrail dovrebbe avere la crittografia a riposo abilitata](cloudtrail-controls.md#cloudtrail-2)

[[CloudTrail.4] la convalida dei file di CloudTrail registro dovrebbe essere abilitata](cloudtrail-controls.md#cloudtrail-4)

[[CloudTrail.7] Assicurati che la registrazione degli accessi al bucket S3 sia abilitata sul bucket S3 CloudTrail](cloudtrail-controls.md#cloudtrail-7)

[[Config.1] AWS Config deve essere abilitato e utilizzare il ruolo collegato al servizio per la registrazione delle risorse](config-controls.md#config-1)

[[EC2.2] I gruppi di sicurezza VPC predefiniti non dovrebbero consentire il traffico in entrata o in uscita](ec2-controls.md#ec2-2)

[[EC2.6] La registrazione del flusso in VPC deve essere abilitata in tutti i casi VPCs](ec2-controls.md#ec2-6)

[[EC2.7] La crittografia predefinita di EBS deve essere abilitata](ec2-controls.md#ec2-7)

[[EC2.8] Le istanze EC2 devono utilizzare Instance Metadata Service versione 2 () IMDSv2](ec2-controls.md#ec2-8)

[[EC2.21] La rete non ACLs dovrebbe consentire l'ingresso dalla porta 0.0.0.0/0 alla porta 22 o alla porta 3389](ec2-controls.md#ec2-21)

[[EC2.53] I gruppi di sicurezza EC2 non dovrebbero consentire l'accesso da 0.0.0.0/0 alle porte di amministrazione remota del server](ec2-controls.md#ec2-53)

[[EC2.54] I gruppi di sicurezza EC2 non dovrebbero consentire l'accesso da: :/0 alle porte di amministrazione remota del server](ec2-controls.md#ec2-54)

[[EFS.1] Elastic File System deve essere configurato per crittografare i dati dei file inattivi utilizzando AWS KMS](efs-controls.md#efs-1)

[[IAM.2] Gli utenti IAM non devono avere policy IAM allegate](iam-controls.md#iam-2)

[[IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno](iam-controls.md#iam-3)

[[IAM.4] La chiave di accesso utente root IAM non dovrebbe esistere](iam-controls.md#iam-4)

[[IAM.5] MFA deve essere abilitata per tutti gli utenti IAM che dispongono di una password della console](iam-controls.md#iam-5)

[[IAM.6] L'autenticazione MFA per l'hardware deve essere abilitata per l'utente root](iam-controls.md#iam-6)

[[IAM.9] L'MFA deve essere abilitata per l'utente root](iam-controls.md#iam-9)

[[IAM.15] Assicurati che la politica delle password di IAM richieda una lunghezza minima della password pari o superiore a 14](iam-controls.md#iam-15)

[[IAM.16] Assicurati che la politica delle password di IAM impedisca il riutilizzo delle password](iam-controls.md#iam-16)

[[IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con Supporto AWS](iam-controls.md#iam-18)

[[IAM.22] Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse](iam-controls.md#iam-22)

[[IAM.26] I SSL/TLS certificati scaduti gestiti in IAM devono essere rimossi](iam-controls.md#iam-26)

[[IAM.27] Le identità IAM non devono avere la policy allegata AWSCloud ShellFullAccess](iam-controls.md#iam-27)

[[IAM.28] L'analizzatore di accesso esterno IAM Access Analyzer deve essere abilitato](iam-controls.md#iam-28)

[[KMS.4] la rotazione dei tasti dovrebbe essere abilitata AWS KMS](kms-controls.md#kms-4)

[[RDS.2] Le istanze DB RDS dovrebbero vietare l'accesso pubblico, come determinato dalla configurazione PubliclyAccessible](rds-controls.md#rds-2)

[[RDS.3] Le istanze database RDS devono avere la crittografia dei dati inattivi abilitata](rds-controls.md#rds-3)

[[RDS.13] Gli aggiornamenti automatici delle versioni secondarie di RDS devono essere abilitati](rds-controls.md#rds-13)

[[S3.1] I bucket generici S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-1)

[[S3.5] I bucket S3 per uso generico devono richiedere l'utilizzo di SSL](s3-controls.md#s3-5)

[[S3.8] I bucket generici S3 dovrebbero bloccare l'accesso pubblico](s3-controls.md#s3-8)

[[S3.20] I bucket S3 per uso generico devono avere l'eliminazione MFA abilitata](s3-controls.md#s3-20)

[[S3.22] I bucket S3 per uso generico devono registrare gli eventi di scrittura a livello di oggetto](s3-controls.md#s3-22)

[[S3.23] I bucket S3 per uso generico devono registrare gli eventi di lettura a livello di oggetto](s3-controls.md#s3-23)

## AWS CIS Foundations Benchmark versione 1.4.0
<a name="cis1v4-standard"></a>

Security Hub CSPM supporta la versione 1.4.0 (v1.4.0) del benchmark CIS Foundations. AWS 

### Controlli che si applicano alla versione 1.4.0 di CIS Foundations Benchmark AWS
<a name="cis1v4-controls"></a>

 [[CloudTrail.1] CloudTrail deve essere abilitato e configurato con almeno un percorso multiregionale che includa eventi di gestione di lettura e scrittura](cloudtrail-controls.md#cloudtrail-1) 

 [[CloudTrail.2] CloudTrail dovrebbe avere la crittografia a riposo abilitata](cloudtrail-controls.md#cloudtrail-2) 

 [[CloudTrail.4] la convalida dei file di CloudTrail registro dovrebbe essere abilitata](cloudtrail-controls.md#cloudtrail-4) 

 [[CloudTrail.5] i CloudTrail trail devono essere integrati con Amazon Logs CloudWatch](cloudtrail-controls.md#cloudtrail-5) 

 [[CloudTrail.6] Assicurati che il bucket S3 utilizzato per archiviare i log non sia accessibile al pubblico CloudTrail](cloudtrail-controls.md#cloudtrail-6) 

 [[CloudTrail.7] Assicurati che la registrazione degli accessi al bucket S3 sia abilitata sul bucket S3 CloudTrail](cloudtrail-controls.md#cloudtrail-7) 

 [[CloudWatch.1] Dovrebbero esistere un filtro logmetrico e un allarme per l'utilizzo da parte dell'utente «root»](cloudwatch-controls.md#cloudwatch-1) 

 [[CloudWatch.4] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche alle policy IAM](cloudwatch-controls.md#cloudwatch-4) 

 [[CloudWatch.5] Assicurati che esistano un filtro metrico di log e un allarme per le CloudTrail modifiche alla configurazione](cloudwatch-controls.md#cloudwatch-5) 

 [[CloudWatch.6] Assicurati che esistano un filtro metrico di registro e un allarme per gli Console di gestione AWS errori di autenticazione](cloudwatch-controls.md#cloudwatch-6) 

 [[CloudWatch.7] Assicurati che esistano un filtro metrico di registro e un allarme per la disabilitazione o l'eliminazione pianificata delle chiavi gestite dal cliente](cloudwatch-controls.md#cloudwatch-7) 

 [[CloudWatch.8] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche alle policy dei bucket S3](cloudwatch-controls.md#cloudwatch-8) 

 [[CloudWatch.9] Assicurati che esistano un filtro metrico di log e un allarme per le AWS Config modifiche alla configurazione](cloudwatch-controls.md#cloudwatch-9) 

 [[CloudWatch.10] Assicurati che esistano un filtro metrico di registro e un allarme per le modifiche ai gruppi di sicurezza](cloudwatch-controls.md#cloudwatch-10) 

 [[CloudWatch.11] Assicurati che esistano un filtro metrico di registro e un allarme per le modifiche alle liste di controllo degli accessi alla rete (NACL)](cloudwatch-controls.md#cloudwatch-11) 

 [[CloudWatch.12] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche ai gateway di rete](cloudwatch-controls.md#cloudwatch-12) 

 [[CloudWatch.13] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche alla tabella delle rotte](cloudwatch-controls.md#cloudwatch-13) 

 [[CloudWatch.14] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche al VPC](cloudwatch-controls.md#cloudwatch-14) 

 [[Config.1] AWS Config deve essere abilitato e utilizzare il ruolo collegato al servizio per la registrazione delle risorse](config-controls.md#config-1) 

 [[EC2.2] I gruppi di sicurezza VPC predefiniti non dovrebbero consentire il traffico in entrata o in uscita](ec2-controls.md#ec2-2) 

 [[EC2.6] La registrazione del flusso in VPC deve essere abilitata in tutti i casi VPCs](ec2-controls.md#ec2-6) 

 [[EC2.7] La crittografia predefinita di EBS deve essere abilitata](ec2-controls.md#ec2-7) 

 [[EC2.21] La rete non ACLs dovrebbe consentire l'ingresso dalla porta 0.0.0.0/0 alla porta 22 o alla porta 3389](ec2-controls.md#ec2-21) 

 [[IAM.1] Le politiche IAM non dovrebbero consentire privilegi amministrativi «\$1» completi](iam-controls.md#iam-1) 

 [[IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno](iam-controls.md#iam-3) 

 [[IAM.4] La chiave di accesso utente root IAM non dovrebbe esistere](iam-controls.md#iam-4) 

 [[IAM.5] MFA deve essere abilitata per tutti gli utenti IAM che dispongono di una password della console](iam-controls.md#iam-5) 

 [[IAM.6] L'autenticazione MFA per l'hardware deve essere abilitata per l'utente root](iam-controls.md#iam-6) 

 [[IAM.9] L'MFA deve essere abilitata per l'utente root](iam-controls.md#iam-9) 

 [[IAM.15] Assicurati che la politica delle password di IAM richieda una lunghezza minima della password pari o superiore a 14](iam-controls.md#iam-15) 

 [[IAM.16] Assicurati che la politica delle password di IAM impedisca il riutilizzo delle password](iam-controls.md#iam-16) 

 [[IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con Supporto AWS](iam-controls.md#iam-18) 

 [[IAM.22] Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse](iam-controls.md#iam-22) 

 [[KMS.4] la rotazione dei tasti dovrebbe essere abilitata AWS KMS](kms-controls.md#kms-4) 

 [[RDS.3] Le istanze database RDS devono avere la crittografia dei dati inattivi abilitata](rds-controls.md#rds-3) 

 [[S3.1] I bucket generici S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-1) 

 [[S3.5] I bucket S3 per uso generico devono richiedere l'utilizzo di SSL](s3-controls.md#s3-5) 

 [[S3.8] I bucket generici S3 dovrebbero bloccare l'accesso pubblico](s3-controls.md#s3-8) 

 [[S3.20] I bucket S3 per uso generico devono avere l'eliminazione MFA abilitata](s3-controls.md#s3-20) 

## CIS Foundations Benchmark versione AWS 1.2.0
<a name="cis1v2-standard"></a>

Security Hub CSPM supporta la versione 1.2.0 (v1.2.0) del benchmark CIS Foundations. AWS Security Hub CSPM ha soddisfatto i requisiti della certificazione del software di sicurezza CIS e ha ottenuto la certificazione del software di sicurezza CIS per i seguenti benchmark CIS: 
+ Benchmark CIS per CIS Foundations Benchmark, v1.2.0, livello 1 AWS 
+ Benchmark CIS per CIS Foundations Benchmark, v1.2.0, livello 2 AWS 

### Controlli che si applicano alla versione 1.2.0 di CIS Foundations Benchmark AWS
<a name="cis1v2-controls"></a>

 [[CloudTrail.1] CloudTrail deve essere abilitato e configurato con almeno un percorso multiregionale che includa eventi di gestione di lettura e scrittura](cloudtrail-controls.md#cloudtrail-1) 

 [[CloudTrail.2] CloudTrail dovrebbe avere la crittografia a riposo abilitata](cloudtrail-controls.md#cloudtrail-2) 

 [[CloudTrail.4] la convalida dei file di CloudTrail registro dovrebbe essere abilitata](cloudtrail-controls.md#cloudtrail-4) 

 [[CloudTrail.5] i CloudTrail trail devono essere integrati con Amazon Logs CloudWatch](cloudtrail-controls.md#cloudtrail-5) 

 [[CloudTrail.6] Assicurati che il bucket S3 utilizzato per archiviare i log non sia accessibile al pubblico CloudTrail](cloudtrail-controls.md#cloudtrail-6) 

 [[CloudTrail.7] Assicurati che la registrazione degli accessi al bucket S3 sia abilitata sul bucket S3 CloudTrail](cloudtrail-controls.md#cloudtrail-7) 

 [[CloudWatch.1] Dovrebbero esistere un filtro logmetrico e un allarme per l'utilizzo da parte dell'utente «root»](cloudwatch-controls.md#cloudwatch-1) 

 [[CloudWatch.2] Assicurati che esistano un filtro metrico di log e un allarme per le chiamate API non autorizzate](cloudwatch-controls.md#cloudwatch-2) 

 [[CloudWatch.3] Assicurati che esistano un filtro metrico di registro e un allarme per l'accesso alla console di gestione senza MFA](cloudwatch-controls.md#cloudwatch-3) 

 [[CloudWatch.4] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche alle policy IAM](cloudwatch-controls.md#cloudwatch-4) 

 [[CloudWatch.5] Assicurati che esistano un filtro metrico di log e un allarme per le CloudTrail modifiche alla configurazione](cloudwatch-controls.md#cloudwatch-5) 

 [[CloudWatch.6] Assicurati che esistano un filtro metrico di registro e un allarme per gli Console di gestione AWS errori di autenticazione](cloudwatch-controls.md#cloudwatch-6) 

 [[CloudWatch.7] Assicurati che esistano un filtro metrico di registro e un allarme per la disabilitazione o l'eliminazione pianificata delle chiavi gestite dal cliente](cloudwatch-controls.md#cloudwatch-7) 

 [[CloudWatch.8] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche alle policy dei bucket S3](cloudwatch-controls.md#cloudwatch-8) 

 [[CloudWatch.9] Assicurati che esistano un filtro metrico di log e un allarme per le AWS Config modifiche alla configurazione](cloudwatch-controls.md#cloudwatch-9) 

 [[CloudWatch.10] Assicurati che esistano un filtro metrico di registro e un allarme per le modifiche ai gruppi di sicurezza](cloudwatch-controls.md#cloudwatch-10) 

 [[CloudWatch.11] Assicurati che esistano un filtro metrico di registro e un allarme per le modifiche alle liste di controllo degli accessi alla rete (NACL)](cloudwatch-controls.md#cloudwatch-11) 

 [[CloudWatch.12] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche ai gateway di rete](cloudwatch-controls.md#cloudwatch-12) 

 [[CloudWatch.13] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche alla tabella delle rotte](cloudwatch-controls.md#cloudwatch-13) 

 [[CloudWatch.14] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche al VPC](cloudwatch-controls.md#cloudwatch-14) 

 [[Config.1] AWS Config deve essere abilitato e utilizzare il ruolo collegato al servizio per la registrazione delle risorse](config-controls.md#config-1) 

 [[EC2.2] I gruppi di sicurezza VPC predefiniti non dovrebbero consentire il traffico in entrata o in uscita](ec2-controls.md#ec2-2) 

 [[EC2.6] La registrazione del flusso in VPC deve essere abilitata in tutti i casi VPCs](ec2-controls.md#ec2-6) 

 [[EC2.13] I gruppi di sicurezza non devono consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 22](ec2-controls.md#ec2-13) 

 [[EC2.14] I gruppi di sicurezza non dovrebbero consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 3389](ec2-controls.md#ec2-14) 

 [[IAM.1] Le politiche IAM non dovrebbero consentire privilegi amministrativi «\$1» completi](iam-controls.md#iam-1) 

 [[IAM.2] Gli utenti IAM non devono avere policy IAM allegate](iam-controls.md#iam-2) 

 [[IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno](iam-controls.md#iam-3) 

 [[IAM.4] La chiave di accesso utente root IAM non dovrebbe esistere](iam-controls.md#iam-4) 

 [[IAM.5] MFA deve essere abilitata per tutti gli utenti IAM che dispongono di una password della console](iam-controls.md#iam-5) 

 [[IAM.6] L'autenticazione MFA per l'hardware deve essere abilitata per l'utente root](iam-controls.md#iam-6) 

 [[IAM.8] Le credenziali utente IAM non utilizzate devono essere rimosse](iam-controls.md#iam-8) 

 [[IAM.9] L'MFA deve essere abilitata per l'utente root](iam-controls.md#iam-9) 

 [[IAM.11] Assicurati che la politica delle password IAM richieda almeno una lettera maiuscola](iam-controls.md#iam-11) 

 [[IAM.12] Assicurati che la politica delle password IAM richieda almeno una lettera minuscola](iam-controls.md#iam-12) 

 [[IAM.13] Assicurati che la politica delle password IAM richieda almeno un simbolo](iam-controls.md#iam-13) 

 [[IAM.14] Assicurati che la politica delle password IAM richieda almeno un numero](iam-controls.md#iam-14) 

 [[IAM.15] Assicurati che la politica delle password di IAM richieda una lunghezza minima della password pari o superiore a 14](iam-controls.md#iam-15) 

 [[IAM.16] Assicurati che la politica delle password di IAM impedisca il riutilizzo delle password](iam-controls.md#iam-16) 

 [[IAM.17] Assicurati che la policy sulle password di IAM faccia scadere le password entro 90 giorni o meno](iam-controls.md#iam-17) 

 [[IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con Supporto AWS](iam-controls.md#iam-18) 

 [[KMS.4] la rotazione dei tasti dovrebbe essere abilitata AWS KMS](kms-controls.md#kms-4) 

## Confronto delle versioni per CIS Foundations Benchmark AWS
<a name="cis1.4-vs-cis1.2"></a>

Questa sezione riassume le differenze tra le versioni specifiche del Center for Internet Security (CIS) AWS Foundations Benchmark: v5.0.0, v3.0.0, v1.4.0 e v1.2.0. AWS Security Hub CSPM supporta ognuna di queste versioni del benchmark CIS Foundations AWS . Tuttavia, consigliamo di utilizzare la versione 5.0.0 per rimanere aggiornati sulle migliori pratiche di sicurezza. È possibile abilitare contemporaneamente più versioni degli standard CIS AWS Foundations Benchmark. Per informazioni sull'abilitazione degli standard, vedere. [Abilitazione di uno standard di sicurezza](enable-standards.md) Se desideri eseguire l'aggiornamento alla versione 5.0.0, abilitalo prima di disabilitare una versione precedente. In questo modo si evitano lacune nei controlli di sicurezza. [Se utilizzi l'integrazione CSPM di Security Hub con AWS Organizations e desideri abilitare in batch la v5.0.0 in più account, ti consigliamo di utilizzare la configurazione centrale.](central-configuration-intro.md)

### Mappatura dei controlli ai requisiti CIS in ogni versione
<a name="cis-version-comparison"></a>

Scopri quali controlli supporta ogni versione di CIS AWS Foundations Benchmark.


| ID e titolo di controllo | Requisito CIS v5.0.0 | Requisito CIS v3.0.0 | Requisito CIS v1.4.0 | Requisito CIS v1.2.0 | 
| --- | --- | --- | --- | --- | 
|  [[Account.1] Le informazioni di contatto di sicurezza devono essere fornite per un Account AWS](account-controls.md#account-1)  |  1.2  |  1.2  |  1.2  |  1.18  | 
|  [[CloudTrail.1] CloudTrail deve essere abilitato e configurato con almeno un percorso multiregionale che includa eventi di gestione di lettura e scrittura](cloudtrail-controls.md#cloudtrail-1)  |  3.1  |  3.1  |  3.1  |  2.1  | 
|  [[CloudTrail.2] CloudTrail dovrebbe avere la crittografia a riposo abilitata](cloudtrail-controls.md#cloudtrail-2)  |  3.5  |  3.5  |  3.7  |  2.7  | 
|  [[CloudTrail.4] la convalida dei file di CloudTrail registro dovrebbe essere abilitata](cloudtrail-controls.md#cloudtrail-4)  |  3.2  |  3.2  |  3.2  |  2.2  | 
|  [[CloudTrail.5] i CloudTrail trail devono essere integrati con Amazon Logs CloudWatch](cloudtrail-controls.md#cloudtrail-5)  |  Non supportato: il CIS ha rimosso questo requisito  |  Non supportato: il CIS ha rimosso questo requisito  |  3.4  |  2.4  | 
|  [[CloudTrail.6] Assicurati che il bucket S3 utilizzato per archiviare i log non sia accessibile al pubblico CloudTrail](cloudtrail-controls.md#cloudtrail-6)  |  Non supportato: il CIS ha rimosso questo requisito  |  Non supportato: il CIS ha rimosso questo requisito  |  3.3  |  2.3  | 
|  [[CloudTrail.7] Assicurati che la registrazione degli accessi al bucket S3 sia abilitata sul bucket S3 CloudTrail](cloudtrail-controls.md#cloudtrail-7)  |  3.4  |  3.4  |  3.6  |  2.6  | 
|  [[CloudWatch.1] Dovrebbero esistere un filtro logmetrico e un allarme per l'utilizzo da parte dell'utente «root»](cloudwatch-controls.md#cloudwatch-1)  |  Non supportato: controllo manuale  |  Non supportato: controllo manuale  |  4.3  |  3.3  | 
|  [[CloudWatch.2] Assicurati che esistano un filtro metrico di log e un allarme per le chiamate API non autorizzate](cloudwatch-controls.md#cloudwatch-2)  |  Non supportato: controllo manuale  |  Non supportato: controllo manuale  |  Non supportato: controllo manuale  |  3.1  | 
|  [[CloudWatch.3] Assicurati che esistano un filtro metrico di registro e un allarme per l'accesso alla console di gestione senza MFA](cloudwatch-controls.md#cloudwatch-3)  |  Non supportato: controllo manuale  |  Non supportato: controllo manuale  |  Non supportato: controllo manuale  |  3.2  | 
|  [[CloudWatch.4] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche alle policy IAM](cloudwatch-controls.md#cloudwatch-4)  |  Non supportato: controllo manuale  |  Non supportato: controllo manuale  |  4.4  |  3.4  | 
|  [[CloudWatch.5] Assicurati che esistano un filtro metrico di log e un allarme per le CloudTrail modifiche alla configurazione](cloudwatch-controls.md#cloudwatch-5)  |  Non supportato: controllo manuale  |  Non supportato: controllo manuale  |  4.5  |  3.5  | 
|  [[CloudWatch.6] Assicurati che esistano un filtro metrico di registro e un allarme per gli Console di gestione AWS errori di autenticazione](cloudwatch-controls.md#cloudwatch-6)  |  Non supportato: controllo manuale  |  Non supportato: controllo manuale  |  4.6  |  3.6  | 
|  [[CloudWatch.7] Assicurati che esistano un filtro metrico di registro e un allarme per la disabilitazione o l'eliminazione pianificata delle chiavi gestite dal cliente](cloudwatch-controls.md#cloudwatch-7)  |  Non supportato: controllo manuale  |  Non supportato: controllo manuale  |  4.7  |  3.7  | 
|  [[CloudWatch.8] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche alle policy dei bucket S3](cloudwatch-controls.md#cloudwatch-8)  |  Non supportato: controllo manuale  |  Non supportato: controllo manuale  |  4.8  |  3.8  | 
|  [[CloudWatch.9] Assicurati che esistano un filtro metrico di log e un allarme per le AWS Config modifiche alla configurazione](cloudwatch-controls.md#cloudwatch-9)  |  Non supportato: controllo manuale  |  Non supportato: controllo manuale  |  4.9  |  3.9  | 
|  [[CloudWatch.10] Assicurati che esistano un filtro metrico di registro e un allarme per le modifiche ai gruppi di sicurezza](cloudwatch-controls.md#cloudwatch-10)  |  Non supportato: controllo manuale  |  Non supportato: controllo manuale  |  4.10  |  3,10  | 
|  [[CloudWatch.11] Assicurati che esistano un filtro metrico di registro e un allarme per le modifiche alle liste di controllo degli accessi alla rete (NACL)](cloudwatch-controls.md#cloudwatch-11)  |  Non supportato: controllo manuale  |  Non supportato: controllo manuale  |  4.11  |  3,11  | 
|  [[CloudWatch.12] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche ai gateway di rete](cloudwatch-controls.md#cloudwatch-12)  |  Non supportato: controllo manuale  |  Non supportato: controllo manuale  |  4.12  |  3,12  | 
|  [[CloudWatch.13] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche alla tabella delle rotte](cloudwatch-controls.md#cloudwatch-13)  |  Non supportato: controllo manuale  |  Non supportato: controllo manuale  |  4.13  |  3.13  | 
|  [[CloudWatch.14] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche al VPC](cloudwatch-controls.md#cloudwatch-14)  |  Non supportato: controllo manuale  |  Non supportato: controllo manuale  |  4.14  |  3,14  | 
|  [[Config.1] AWS Config deve essere abilitato e utilizzare il ruolo collegato al servizio per la registrazione delle risorse](config-controls.md#config-1)  |  3.3  |  3.3  |  3.5  |  2.5  | 
|  [[EC2.2] I gruppi di sicurezza VPC predefiniti non dovrebbero consentire il traffico in entrata o in uscita](ec2-controls.md#ec2-2)  |  5.5  |  5.4  |  5.3  |  4.3  | 
|  [[EC2.6] La registrazione del flusso in VPC deve essere abilitata in tutti i casi VPCs](ec2-controls.md#ec2-6)  |  3.7  |  3.7  |  3.9  |  2.9  | 
|  [[EC2.7] La crittografia predefinita di EBS deve essere abilitata](ec2-controls.md#ec2-7)  |  5.1.1  |  2.2.1  |  2.2.1  |  Non supportata  | 
|  [[EC2.8] Le istanze EC2 devono utilizzare Instance Metadata Service versione 2 () IMDSv2](ec2-controls.md#ec2-8)  |  5.7  |  5.6  |  Non supportata  |  Non supportata  | 
|  [[EC2.13] I gruppi di sicurezza non devono consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 22](ec2-controls.md#ec2-13)  |  Non supportato: sostituito dai requisiti 5.3 e 5.4  |  Non supportato: sostituito dai requisiti 5.2 e 5.3  |  Non supportato: sostituito dai requisiti 5.2 e 5.3  |  4.1  | 
|  [[EC2.14] I gruppi di sicurezza non dovrebbero consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 3389](ec2-controls.md#ec2-14)  |  Non supportato: sostituito dai requisiti 5.3 e 5.4  |  Non supportato: sostituito dai requisiti 5.2 e 5.3  |  Non supportato: sostituito dai requisiti 5.2 e 5.3  |  4.2  | 
|  [[EC2.21] La rete non ACLs dovrebbe consentire l'ingresso dalla porta 0.0.0.0/0 alla porta 22 o alla porta 3389](ec2-controls.md#ec2-21)  |  5.2  |  5.1  |  5.1  |  Non supportata  | 
|  [[EC2.53] I gruppi di sicurezza EC2 non dovrebbero consentire l'accesso da 0.0.0.0/0 alle porte di amministrazione remota del server](ec2-controls.md#ec2-53)  |  5.3  |  5.2  |  Non supportata  |  Non supportata  | 
|  [[EC2.54] I gruppi di sicurezza EC2 non dovrebbero consentire l'accesso da: :/0 alle porte di amministrazione remota del server](ec2-controls.md#ec2-54)  |  5.4  |  5.3  |  Non supportata  |  Non supportata  | 
|  [[EFS.1] Elastic File System deve essere configurato per crittografare i dati dei file inattivi utilizzando AWS KMS](efs-controls.md#efs-1)  |  2.3.1  |  2.4.1  |  Non supportata  |  Non supportata  | 
|  [[EFS.8] I file system EFS devono essere crittografati quando sono inattivi](efs-controls.md#efs-8)  |  2.3.1  |  Non supportata  |  Non supportata  |  Non supportata  | 
|  [[IAM.1] Le politiche IAM non dovrebbero consentire privilegi amministrativi «\$1» completi](iam-controls.md#iam-1)  |  Non supportata   |  Non supportata   |  1.16  |  1,22  | 
|  [[IAM.2] Gli utenti IAM non devono avere policy IAM allegate](iam-controls.md#iam-2)  |  1.14  |  1.15  |  Non supportata  |  1.16  | 
|  [[IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno](iam-controls.md#iam-3)  |  1.13  |  1.14  |  1.14  |  1.4  | 
|  [[IAM.4] La chiave di accesso utente root IAM non dovrebbe esistere](iam-controls.md#iam-4)  |  1.3  |  1.4  |  1.4  |  1.12  | 
|  [[IAM.5] MFA deve essere abilitata per tutti gli utenti IAM che dispongono di una password della console](iam-controls.md#iam-5)  |  1.9  |  1.10  |  1.10  |  1.2  | 
|  [[IAM.6] L'autenticazione MFA per l'hardware deve essere abilitata per l'utente root](iam-controls.md#iam-6)  |  1.5  |  1.6  |  1.6  |  1.14  | 
|  [[IAM.8] Le credenziali utente IAM non utilizzate devono essere rimosse](iam-controls.md#iam-8)  |  Non supportato, vedi invece [[IAM.22] Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse](iam-controls.md#iam-22)  |  Non supportato, vedi [[IAM.22] Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse](iam-controls.md#iam-22) invece  |  Non supportato, vedi [[IAM.22] Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse](iam-controls.md#iam-22) invece  |  1.3  | 
|  [[IAM.9] L'MFA deve essere abilitata per l'utente root](iam-controls.md#iam-9)  |  1.4  |  1.5  |  1.5  |  1.13  | 
|  [[IAM.11] Assicurati che la politica delle password IAM richieda almeno una lettera maiuscola](iam-controls.md#iam-11)  |  Non supportato: il CIS ha rimosso questo requisito  |  Non supportato: il CIS ha rimosso questo requisito  |  Non supportato: il CIS ha rimosso questo requisito  |  1.5  | 
|  [[IAM.12] Assicurati che la politica delle password IAM richieda almeno una lettera minuscola](iam-controls.md#iam-12)  |  Non supportato: il CIS ha rimosso questo requisito  |  Non supportato: il CIS ha rimosso questo requisito  |  Non supportato: il CIS ha rimosso questo requisito  |  1.6  | 
|  [[IAM.13] Assicurati che la politica delle password IAM richieda almeno un simbolo](iam-controls.md#iam-13)  |  Non supportato: il CIS ha rimosso questo requisito  |  Non supportato: il CIS ha rimosso questo requisito  |  Non supportato: il CIS ha rimosso questo requisito  |  1,7  | 
|  [[IAM.14] Assicurati che la politica delle password IAM richieda almeno un numero](iam-controls.md#iam-14)  |  Non supportato: il CIS ha rimosso questo requisito  |  Non supportato: il CIS ha rimosso questo requisito  |  Non supportato: il CIS ha rimosso questo requisito  |  1.8  | 
|  [[IAM.15] Assicurati che la politica delle password di IAM richieda una lunghezza minima della password pari o superiore a 14](iam-controls.md#iam-15)  |  1,7  |  1.8  |  1.8  |  1.9  | 
|  [[IAM.16] Assicurati che la politica delle password di IAM impedisca il riutilizzo delle password](iam-controls.md#iam-16)  |  1.8  |  1.9  |  1.9  |  1.10  | 
|  [[IAM.17] Assicurati che la policy sulle password di IAM faccia scadere le password entro 90 giorni o meno](iam-controls.md#iam-17)  |  Non supportato: il CIS ha rimosso questo requisito  |  Non supportato: il CIS ha rimosso questo requisito  |  Non supportato: il CIS ha rimosso questo requisito  |  1.11  | 
|  [[IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con Supporto AWS](iam-controls.md#iam-18)  |  1.16  |  1,17  |  1,17  |  1.2  | 
|  [[IAM.20] Evita l'uso dell'utente root](iam-controls.md#iam-20)  |  Non supportato: il CIS ha rimosso questo requisito  |  Non supportato: il CIS ha rimosso questo requisito  |  Non supportato: il CIS ha rimosso questo requisito  |  1.1  | 
|  [[IAM.22] Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse](iam-controls.md#iam-22)  |  1.11  |  1.12  |  1.12  |  Non supportato: il CIS ha aggiunto questo requisito nelle versioni successive  | 
|  [[IAM.26] I SSL/TLS certificati scaduti gestiti in IAM devono essere rimossi](iam-controls.md#iam-26)  |  1.18  |  1,19  |  Non supportato: il CIS ha aggiunto questo requisito nelle versioni successive  |  Non supportato: il CIS ha aggiunto questo requisito nelle versioni successive  | 
|  [[IAM.27] Le identità IAM non devono avere la policy allegata AWSCloud ShellFullAccess](iam-controls.md#iam-27)  |  1.21  |  1,22  |  Non supportato: il CIS ha aggiunto questo requisito nelle versioni successive  |  Non supportato: il CIS ha aggiunto questo requisito nelle versioni successive  | 
|  [[IAM.28] L'analizzatore di accesso esterno IAM Access Analyzer deve essere abilitato](iam-controls.md#iam-28)  |  1.19  |  1,20  |  Non supportato: il CIS ha aggiunto questo requisito nelle versioni successive  |  Non supportato: il CIS ha aggiunto questo requisito nelle versioni successive  | 
|  [[KMS.4] la rotazione dei tasti dovrebbe essere abilitata AWS KMS](kms-controls.md#kms-4)  |  3.6  |  3.6  |  3.8  |  2.8  | 
|  [[Macie.1] Amazon Macie dovrebbe essere abilitato](macie-controls.md#macie-1)  |  Non supportato: controllo manuale  |  Non supportato: controllo manuale  |  Non supportato: controllo manuale  |  Non supportato: controllo manuale  | 
|  [[RDS.2] Le istanze DB RDS dovrebbero vietare l'accesso pubblico, come determinato dalla configurazione PubliclyAccessible](rds-controls.md#rds-2)  |  2.2.3  |  2.3.3  |  Non supportato: il CIS ha aggiunto questo requisito nelle versioni successive  |  Non supportato: il CIS ha aggiunto questo requisito nelle versioni successive  | 
|  [[RDS.3] Le istanze database RDS devono avere la crittografia dei dati inattivi abilitata](rds-controls.md#rds-3)  |  2.2.1  |  2.3.1  |  2.3.1  |  Non supportato: il CIS ha aggiunto questo requisito nelle versioni successive  | 
|  [[RDS.5] Le istanze DB RDS devono essere configurate con più zone di disponibilità](rds-controls.md#rds-5)  |  2.2.4  |  Non supportato: il CIS ha aggiunto questo requisito nelle versioni successive  |  Non supportato: il CIS ha aggiunto questo requisito nelle versioni successive  |  Non supportato: il CIS ha aggiunto questo requisito nelle versioni successive  | 
|  [[RDS.13] Gli aggiornamenti automatici delle versioni secondarie di RDS devono essere abilitati](rds-controls.md#rds-13)  |  2.2.2  |  2.3.2  |  Non supportato: il CIS ha aggiunto questo requisito nelle versioni successive  |  Non supportato: il CIS ha aggiunto questo requisito nelle versioni successive  | 
|  [[RDS.15] I cluster RDS DB devono essere configurati per più zone di disponibilità](rds-controls.md#rds-15)  |  2.2.4  |  Non supportato: il CIS ha aggiunto questo requisito nelle versioni successive  |  Non supportato: il CIS ha aggiunto questo requisito nelle versioni successive  |  Non supportato: il CIS ha aggiunto questo requisito nelle versioni successive  | 
|  [[S3.1] I bucket generici S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-1)  |  2.1.4  |  2.1.4  |  2.1.5  |  Non supportato: il CIS ha aggiunto questo requisito nelle versioni successive  | 
|  [[S3.5] I bucket S3 per uso generico devono richiedere l'utilizzo di SSL](s3-controls.md#s3-5)  |  2.1.1  |  2.1.1  |  2.1.2  |  Non supportato: il CIS ha aggiunto questo requisito nelle versioni successive  | 
|  [[S3.8] I bucket generici S3 dovrebbero bloccare l'accesso pubblico](s3-controls.md#s3-8)  |  2.1.4  |  2.1.4  |  2.1.5  |  Non supportato: il CIS ha aggiunto questo requisito nelle versioni successive  | 
|  [[S3.20] I bucket S3 per uso generico devono avere l'eliminazione MFA abilitata](s3-controls.md#s3-20)  |  2.1.2  |  2.1.2  |  2.1.3  |  Non supportato: il CIS ha aggiunto questo requisito nelle versioni successive  | 

### ARNs per i benchmark di CIS Foundations AWS
<a name="cisv1.4.0-finding-fields"></a>

Quando abiliti una o più versioni del benchmark CIS AWS Foundations, inizi a ricevere i risultati nel AWS Security Finding Format (ASFF). In ASFF, ogni versione utilizza il seguente Amazon Resource Name (ARN):

**Benchmark CIS Foundations v5.0.0 AWS **  
`arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/5.0.0`

**Benchmark CIS AWS Foundations v3.0.0**  
`arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/3.0.0`

**Benchmark CIS AWS Foundations v1.4.0**  
`arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/1.4.0`

**Benchmark CIS Foundations v1.2.0 AWS **  
`arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0`

È possibile utilizzare il [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html)funzionamento dell'API CSPM Security Hub per trovare l'ARN di uno standard abilitato.

I valori precedenti sono per. `StandardsArn` Tuttavia, `StandardsSubscriptionArn` si riferisce alla risorsa di abbonamento standard che Security Hub CSPM crea quando ci si abbona a uno standard chiamando una [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchEnableStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchEnableStandards.html)regione.

**Nota**  
Quando abiliti una versione di CIS AWS Foundations Benchmark, possono essere necessarie fino a 18 ore prima che Security Hub CSPM generi risultati per i controlli che utilizzano la stessa regola AWS Config collegata ai servizi dei controlli abilitati in altri standard abilitati. Per ulteriori informazioni sulla pianificazione per la generazione dei risultati del controllo, vedere. [Pianificazione dell'esecuzione dei controlli di sicurezza](securityhub-standards-schedule.md)

I campi di ricerca sono diversi se si attivano i risultati di controllo consolidati. Per informazioni su queste differenze, vedere[Impatto del consolidamento sui campi e sui valori ASFF](asff-changes-consolidation.md). Per esempi di risultati di controllo, vedere[Esempi di risultati di controllo](sample-control-findings.md).

### Requisiti CIS non supportati in Security Hub CSPM
<a name="securityhub-standards-cis-checks-not-supported"></a>

Come indicato nella tabella precedente, Security Hub CSPM non supporta tutti i requisiti CIS in ogni versione del benchmark CIS Foundations. AWS Molti dei requisiti non supportati possono essere valutati solo esaminando manualmente lo stato delle risorse. AWS 

# NIST SP 800-53 Revisione 5 nel Security Hub CSPM
<a name="standards-reference-nist-800-53"></a>

La pubblicazione speciale NIST 800-53 Revisione 5 (NIST SP 800-53 Rev. 5) è un framework di sicurezza e conformità informatica sviluppato dal National Institute of Standards and Technology (NIST), un'agenzia che fa parte del Dipartimento del Commercio degli Stati Uniti. Questo framework di conformità fornisce un catalogo di requisiti di sicurezza e privacy per proteggere la riservatezza, l'integrità e la disponibilità dei sistemi di informazione e delle risorse critiche. Le agenzie e gli appaltatori del governo federale degli Stati Uniti devono rispettare questi requisiti per proteggere i propri sistemi e le proprie organizzazioni. Le organizzazioni private possono inoltre utilizzare volontariamente i requisiti come quadro guida per ridurre i rischi di sicurezza informatica. *Per ulteriori informazioni sul framework e sui relativi requisiti, vedere [NIST SP 800-53 Rev. 5 nel NIST Computer Security Resource Center.](https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final)*

AWS Security Hub CSPM fornisce controlli di sicurezza che supportano un sottoinsieme dei requisiti NIST SP 800-53 Revisione 5. I controlli eseguono controlli di sicurezza automatici per determinate risorse. Servizi AWS Per abilitare e gestire questi controlli, è possibile abilitare il framework NIST SP 800-53 Revision 5 come standard in Security Hub CSPM. Tieni presente che i controlli non supportano i requisiti NIST SP 800-53 Revisione 5 che richiedono controlli manuali.

A differenza di altri framework, il framework NIST SP 800-53 Revision 5 non è prescrittivo su come valutare i suoi requisiti. Invece, il framework fornisce delle linee guida. In Security Hub CSPM, lo standard e i controlli NIST SP 800-53 Revision 5 rappresentano la comprensione da parte del servizio di queste linee guida.

**Topics**
+ [Configurazione della registrazione delle risorse per lo standard](#standards-reference-nist-800-53-recording)
+ [Determinare quali controlli si applicano allo standard](#standards-reference-nist-800-53-controls)

## Configurazione della registrazione delle risorse per i controlli che si applicano allo standard
<a name="standards-reference-nist-800-53-recording"></a>

Per ottimizzare la copertura e l'accuratezza dei risultati, è importante abilitare e configurare la registrazione delle risorse AWS Config prima di abilitare lo standard NIST SP 800-53 Revisione 5 in Security Hub AWS CSPM. Quando configuri la registrazione delle risorse, assicurati anche di abilitarla per tutti i tipi di AWS risorse controllate dai controlli che si applicano allo standard. Questo è principalmente per i controlli che hanno un tipo di pianificazione *innescato dalla modifica*. Tuttavia, alcuni controlli con un tipo di pianificazione *periodica* richiedono anche la registrazione delle risorse. Se la registrazione delle risorse non è abilitata o configurata correttamente, Security Hub CSPM potrebbe non essere in grado di valutare le risorse appropriate e generare risultati accurati per i controlli che si applicano allo standard.

Per informazioni su come Security Hub CSPM utilizza la registrazione delle risorse AWS Config, vedere. [Abilitazione e configurazione AWS Config per Security Hub CSPM](securityhub-setup-prereqs.md) *Per informazioni sulla configurazione della registrazione delle risorse in AWS Config, vedere [Lavorare con il registratore di configurazione](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html) nella Guida per gli sviluppatori.AWS Config *

La tabella seguente specifica i tipi di risorse da registrare per i controlli che si applicano allo standard NIST SP 800-53 Revision 5 in Security Hub CSPM.


| Servizio AWS | Tipi di risorse | 
| --- | --- | 
|  Gateway Amazon API  |  `AWS::ApiGateway::Stage`, `AWS::ApiGatewayV2::Stage`  | 
|  AWS AppSync  |  `AWS::AppSync::GraphQLApi`  | 
|  AWS Backup  |  `AWS::Backup::RecoveryPoint`  | 
|  AWS Certificate Manager (ACM)  |  `AWS::ACM::Certificate`  | 
|  AWS CloudFormation  |  `AWS::CloudFormation::Stack`  | 
|  Amazon CloudFront  |  `AWS::CloudFront::Distribution`  | 
|  Amazon CloudWatch  |  `AWS::CloudWatch::Alarm`  | 
|  AWS CodeBuild  |  `AWS::CodeBuild::Project`  | 
|  AWS Database Migration Service (AWS DMS)  |  `AWS::DMS::Endpoint`, `AWS::DMS::ReplicationInstance`, `AWS::DMS::ReplicationTask`  | 
|  Amazon DynamoDB  |  `AWS::DynamoDB::Table`  | 
|  Amazon Elastic Compute Cloud (Amazon EC2)  |  `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::EIP`, `AWS::EC2::Instance`, `AWS::EC2::LaunchTemplate`, `AWS::EC2::NetworkAcl`, `AWS::EC2::NetworkInterface`, `AWS::EC2::SecurityGroup`, `AWS::EC2::Subnet`, `AWS::EC2::TransitGateway`, `AWS::EC2::VPNConnection`, `AWS::EC2::Volume`  | 
|  Amazon EC2 Auto Scaling  |  `AWS::AutoScaling::AutoScalingGroup`, `AWS::AutoScaling::LaunchConfiguration`  | 
|  Amazon Elastic Container Registry (Amazon ECR)  |  `AWS::ECR::Repository`  | 
|  Amazon Elastic Container Service (Amazon ECS)  |  `AWS::ECS::Cluster`, `AWS::ECS::Service`, `AWS::ECS::TaskDefinition`  | 
|  Amazon Elastic File System (Amazon EFS)  |  `AWS::EFS::AccessPoint`  | 
|  Amazon Elastic Kubernetes Service (Amazon EKS)  |  `AWS::EKS::Cluster`  | 
|  AWS Elastic Beanstalk  |  `AWS::ElasticBeanstalk::Environment`  | 
|  Elastic Load Balancing  |  `AWS::ElasticLoadBalancing::LoadBalancer`, `AWS::ElasticLoadBalancingV2::Listener`, `AWS::ElasticLoadBalancingV2::LoadBalancer`  | 
|  Amazon ElasticSearch  |  `AWS::Elasticsearch::Domain`  | 
|  Amazon EMR  |  `AWS::EMR::SecurityConfiguration`  | 
|  Amazon EventBridge  |  `AWS::Events::Endpoint`, `AWS::Events::EventBus`  | 
|  AWS Glue  |  `AWS::Glue::Job`  | 
|  AWS Identity and Access Management (IAM)  |  `AWS::IAM::Group`, `AWS::IAM::Policy`, `AWS::IAM::Role`, `AWS::IAM::User`  | 
|  AWS Key Management Service (AWS KMS)  |  `AWS::KMS::Alias`, `AWS::KMS::Key`  | 
|  Amazon Kinesis  |  `AWS::Kinesis::Stream`  | 
|  AWS Lambda  |  `AWS::Lambda::Function`  | 
|  Amazon Managed Streaming for Apache Kafka (Amazon MSK)  |  `AWS::MSK::Cluster`  | 
|  Amazon MQ  |  `AWS::AmazonMQ::Broker`  | 
|  AWS Network Firewall  |  `AWS::NetworkFirewall::Firewall`, `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup`  | 
|   OpenSearch Servizio Amazon  |  `AWS::OpenSearch::Domain`  | 
|  Amazon Relational Database Service (Amazon RDS)  |  `AWS::RDS::DBCluster`, `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBSnapshot`, `AWS::RDS::EventSubscription`  | 
|  Amazon Redshift  |  `AWS::Redshift::Cluster`, `AWS::Redshift::ClusterSubnetGroup`  | 
|  Amazon Route 53  |  `AWS::Route53::HostedZone`  | 
|  Amazon Simple Storage Service (Amazon S3)  |  `AWS::S3::AccessPoint`, `AWS::S3::AccountPublicAccessBlock`, `AWS::S3::Bucket`  | 
|  AWS Service Catalog  |  `AWS::ServiceCatalog::Portfolio`  | 
|  Servizio di notifica semplice Amazon (Amazon Simple Notification Service (Amazon SNS))  |  `AWS::SNS::Topic`  | 
|  Amazon Simple Queue Service (Amazon SQS)  |  `AWS::SQS::Queue`  | 
| Amazon EC2 Systems Manager (SSM)  |  `AWS::SSM::AssociationCompliance`, `AWS::SSM::ManagedInstanceInventory`, `AWS::SSM::PatchCompliance`  | 
|  Amazon SageMaker AI  |  `AWS::SageMaker::NotebookInstance`  | 
|  Gestione dei segreti AWS  |  `AWS::SecretsManager::Secret`  | 
|  AWS Transfer Family  |  `AWS::Transfer::Connector`  | 
|  AWS WAF  |  `AWS::WAF::Rule`, `AWS::WAF::RuleGroup`, `AWS::WAF::WebACL`, `AWS::WAFRegional::Rule`, `AWS::WAFRegional::RuleGroup`, `AWS::WAFRegional::WebACL`, `AWS::WAFv2::RuleGroup`, `AWS::WAFv2::WebACL`  | 

## Determinare quali controlli si applicano allo standard
<a name="standards-reference-nist-800-53-controls"></a>

L'elenco seguente specifica i controlli che supportano i requisiti NIST SP 800-53 Revisione 5 e si applicano allo standard NIST SP 800-53 Revisione 5 in Security Hub CSPM. AWS Per informazioni dettagliate sui requisiti specifici supportati da un controllo, scegliete il controllo. Quindi, fai riferimento al campo **Requisiti correlati** nei dettagli del controllo. Questo campo specifica ogni requisito NIST supportato dal controllo. Se il campo non specifica un particolare requisito NIST, il controllo non supporta il requisito.
+ [[Account.1] Le informazioni di contatto di sicurezza devono essere fornite per un Account AWS](account-controls.md#account-1)
+ [[Account.2] Account AWS deve far parte di un'organizzazione AWS Organizations](account-controls.md#account-2)
+ [[ACM.1] I certificati importati ed emessi da ACM devono essere rinnovati dopo un periodo di tempo specificato](acm-controls.md#acm-1)
+ [[APIGateway.1] API Gateway REST e la registrazione dell'esecuzione dell' WebSocket API devono essere abilitati](apigateway-controls.md#apigateway-1)
+  [[APIGateway.2] Le fasi API REST di API Gateway devono essere configurate per utilizzare i certificati SSL per l'autenticazione del backend](apigateway-controls.md#apigateway-2) 
+  [[APIGateway.3] Le fasi API REST di API Gateway devono avere la AWS X-Ray traccia abilitata](apigateway-controls.md#apigateway-3) 
+  [[APIGateway.4] API Gateway deve essere associato a un ACL Web WAF](apigateway-controls.md#apigateway-4) 
+  [[APIGateway.5] I dati della cache dell'API REST di API Gateway devono essere crittografati quando sono inattivi](apigateway-controls.md#apigateway-5) 
+  [[APIGateway.8] Le rotte API Gateway devono specificare un tipo di autorizzazione](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages](apigateway-controls.md#apigateway-9) 
+  [[AppSync.5] AWS AppSync APIs GraphQL non deve essere autenticato con chiavi API](appsync-controls.md#appsync-5) 
+  [[AutoScaling.1] I gruppi di Auto Scaling associati a un sistema di bilanciamento del carico devono utilizzare i controlli di integrità ELB](autoscaling-controls.md#autoscaling-1) 
+  [[AutoScaling.2] Il gruppo Amazon EC2 Auto Scaling dovrebbe coprire più zone di disponibilità](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] Le configurazioni di avvio del gruppo Auto Scaling devono EC2 configurare le istanze in modo da richiedere Instance Metadata Service versione 2 () IMDSv2](autoscaling-controls.md#autoscaling-3) 
+  [[Autoscaling.5] Le istanze EC2 Amazon avviate utilizzando le configurazioni di avvio del gruppo Auto Scaling non devono avere indirizzi IP pubblici](autoscaling-controls.md#autoscaling-5) 
+  [[AutoScaling.6] I gruppi di Auto Scaling devono utilizzare più tipi di istanze in più zone di disponibilità](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] I gruppi Amazon EC2 Auto Scaling devono utilizzare i modelli di lancio di Amazon EC2](autoscaling-controls.md#autoscaling-9) 
+  [[Backup.1] i punti di AWS Backup ripristino devono essere crittografati a riposo](backup-controls.md#backup-1) 
+  [[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti](cloudfront-controls.md#cloudfront-12) 
+  [[CloudTrail.1] CloudTrail deve essere abilitato e configurato con almeno un percorso multiregionale che includa eventi di gestione di lettura e scrittura](cloudtrail-controls.md#cloudtrail-1) 
+  [[CloudTrail.2] CloudTrail dovrebbe avere la crittografia a riposo abilitata](cloudtrail-controls.md#cloudtrail-2) 
+  [[CloudTrail.4] la convalida dei file di CloudTrail registro dovrebbe essere abilitata](cloudtrail-controls.md#cloudtrail-4) 
+  [[CloudTrail.5] i CloudTrail trail devono essere integrati con Amazon Logs CloudWatch](cloudtrail-controls.md#cloudtrail-5) 
+  [[CloudTrail.10] Gli archivi dati degli eventi di CloudTrail Lake devono essere crittografati con Customer Managed AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CloudWatch.15] gli CloudWatch allarmi devono avere azioni specificate configurate](cloudwatch-controls.md#cloudwatch-15) 
+  [[CloudWatch.16] i gruppi di CloudWatch log devono essere conservati per un periodo di tempo specificato](cloudwatch-controls.md#cloudwatch-16) 
+  [[CloudWatch.17] le azioni di CloudWatch allarme devono essere attivate](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeBuild.1] L'archivio dei sorgenti di CodeBuild Bitbucket non URLs deve contenere credenziali sensibili](codebuild-controls.md#codebuild-1) 
+  [[CodeBuild.2] Le variabili di ambiente CodeBuild del progetto non devono contenere credenziali di testo non crittografato](codebuild-controls.md#codebuild-2) 
+  [[CodeBuild.3] I log CodeBuild S3 devono essere crittografati](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild.4] Gli ambienti di CodeBuild progetto devono avere una durata di registrazione AWS Config](codebuild-controls.md#codebuild-4) 
+  [[Config.1] AWS Config deve essere abilitato e utilizzare il ruolo collegato al servizio per la registrazione delle risorse](config-controls.md#config-1) 
+  [[DataFirehose.1] I flussi di distribuzione di Firehose devono essere crittografati quando sono inattivi](datafirehose-controls.md#datafirehose-1) 
+  [[DMS.1] Le istanze di replica del Database Migration Service non devono essere pubbliche](dms-controls.md#dms-1) 
+  [[DMS.6] Le istanze di replica DMS devono avere l'aggiornamento automatico delle versioni secondarie abilitato](dms-controls.md#dms-6) 
+  [[DMS.7] Le attività di replica DMS per il database di destinazione devono avere la registrazione abilitata](dms-controls.md#dms-7) 
+  [[DMS.8] Le attività di replica DMS per il database di origine devono avere la registrazione abilitata](dms-controls.md#dms-8) 
+  [[DMS.9] Gli endpoint DMS devono utilizzare SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata](dms-controls.md#dms-10) 
+  [[DMS.11] Gli endpoint DMS per MongoDB devono avere un meccanismo di autenticazione abilitato](dms-controls.md#dms-11) 
+  [[DMS.12] Gli endpoint DMS per Redis OSS devono avere TLS abilitato](dms-controls.md#dms-12) 
+  [[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] I cluster Amazon DocumentDB devono avere un periodo di conservazione dei backup adeguato](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata](documentdb-controls.md#documentdb-5) 
+  [[DynamoDB.1] Le tabelle DynamoDB dovrebbero scalare automaticamente la capacità in base alla domanda](dynamodb-controls.md#dynamodb-1) 
+  [[DynamoDB.2] Le tabelle DynamoDB dovrebbero avere il ripristino abilitato point-in-time](dynamodb-controls.md#dynamodb-2) 
+  [[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] Le tabelle DynamoDB devono essere presenti in un piano di backup](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.6] Le tabelle DynamoDB devono avere la protezione da eliminazione abilitata](dynamodb-controls.md#dynamodb-6) 
+  [[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.1] Gli snapshot di Amazon EBS non devono essere ripristinabili pubblicamente](ec2-controls.md#ec2-1) 
+  [[EC2.2] I gruppi di sicurezza VPC predefiniti non dovrebbero consentire il traffico in entrata o in uscita](ec2-controls.md#ec2-2) 
+  [[EC2.3] I volumi Amazon EBS collegati devono essere crittografati a riposo](ec2-controls.md#ec2-3) 
+  [[EC2.4] Le istanze EC2 arrestate devono essere rimosse dopo un periodo di tempo specificato](ec2-controls.md#ec2-4) 
+  [[EC2.6] La registrazione del flusso in VPC deve essere abilitata in tutti i casi VPCs](ec2-controls.md#ec2-6) 
+  [[EC2.7] La crittografia predefinita di EBS deve essere abilitata](ec2-controls.md#ec2-7) 
+  [[EC2.8] Le istanze EC2 devono utilizzare Instance Metadata Service versione 2 () IMDSv2](ec2-controls.md#ec2-8) 
+  [[EC2.9] Le istanze Amazon EC2 non devono avere un indirizzo pubblico IPv4](ec2-controls.md#ec2-9) 
+  [[EC2.10] Amazon EC2 deve essere configurato per utilizzare endpoint VPC creati per il servizio Amazon EC2](ec2-controls.md#ec2-10) 
+  [[EC2.12] Amazon EC2 non utilizzato deve essere rimosso EIPs](ec2-controls.md#ec2-12) 
+  [[EC2.13] I gruppi di sicurezza non devono consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 22](ec2-controls.md#ec2-13) 
+  [[EC2.15] Le sottoreti Amazon EC2 non devono assegnare automaticamente indirizzi IP pubblici](ec2-controls.md#ec2-15) 
+  [[EC2.16] Le liste di controllo degli accessi alla rete non utilizzate devono essere rimosse](ec2-controls.md#ec2-16) 
+  [[EC2.17] Le istanze Amazon EC2 non devono utilizzare più istanze ENIs](ec2-controls.md#ec2-17) 
+  [[EC2.18] I gruppi di sicurezza devono consentire il traffico in entrata senza restrizioni solo per le porte autorizzate](ec2-controls.md#ec2-18) 
+  [[EC2.19] I gruppi di sicurezza non devono consentire l'accesso illimitato alle porte ad alto rischio](ec2-controls.md#ec2-19) 
+  [[EC2.20] Entrambi i tunnel VPN per una connessione AWS Site-to-Site VPN devono essere attivi](ec2-controls.md#ec2-20) 
+  [[EC2.21] La rete non ACLs dovrebbe consentire l'ingresso dalla porta 0.0.0.0/0 alla porta 22 o alla porta 3389](ec2-controls.md#ec2-21) 
+  [[EC2.23] I gateway di transito Amazon EC2 non devono accettare automaticamente le richieste di allegati VPC](ec2-controls.md#ec2-23) 
+  [[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati](ec2-controls.md#ec2-24) 
+  [[EC2.25] I modelli di lancio di Amazon EC2 non devono IPs assegnare interfacce di rete pubbliche](ec2-controls.md#ec2-25) 
+  [[EC2.28] I volumi EBS devono essere coperti da un piano di backup](ec2-controls.md#ec2-28) 
+  [[EC2.51] Gli endpoint EC2 Client VPN devono avere la registrazione delle connessioni client abilitata](ec2-controls.md#ec2-51) 
+ [[EC2.55] VPCs deve essere configurato con un endpoint di interfaccia per l'API ECR](ec2-controls.md#ec2-55)
+ [[EC2.56] VPCs deve essere configurato con un endpoint di interfaccia per Docker Registry](ec2-controls.md#ec2-56)
+ [[EC2.57] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager](ec2-controls.md#ec2-57)
+ [[EC2.58] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager Contacts](ec2-controls.md#ec2-58)
+ [[EC2.60] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager](ec2-controls.md#ec2-60)
+  [[ECR.1] Gli archivi privati ECR devono avere la scansione delle immagini configurata](ecr-controls.md#ecr-1) 
+  [[ECR.2] I repository privati ECR devono avere l'immutabilità dei tag configurata](ecr-controls.md#ecr-2) 
+  [[ECR.3] I repository ECR devono avere almeno una politica del ciclo di vita configurata](ecr-controls.md#ecr-3) 
+  [[ECR.5] I repository ECR devono essere crittografati e gestiti dal cliente AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[ECS.1] Le definizioni delle attività di Amazon ECS devono avere modalità di rete e definizioni utente sicure](ecs-controls.md#ecs-1) 
+  [[ECS.2] Ai servizi ECS non devono essere assegnati automaticamente indirizzi IP pubblici](ecs-controls.md#ecs-2) 
+  [[ECS.3] Le definizioni delle attività ECS non devono condividere lo spazio dei nomi dei processi dell'host](ecs-controls.md#ecs-3) 
+  [[ECS.4] I contenitori ECS devono essere eseguiti come non privilegiati](ecs-controls.md#ecs-4) 
+  [[ECS.5] Le definizioni delle attività ECS devono configurare i contenitori in modo che siano limitati all'accesso in sola lettura ai filesystem root](ecs-controls.md#ecs-5) 
+  [[ECS.8] I segreti non devono essere passati come variabili di ambiente del contenitore](ecs-controls.md#ecs-8) 
+  [[ECS.9] Le definizioni delle attività ECS devono avere una configurazione di registrazione](ecs-controls.md#ecs-9) 
+  [[ECS.10] I servizi ECS Fargate devono essere eseguiti sulla versione più recente della piattaforma Fargate](ecs-controls.md#ecs-10) 
+  [[ECS.12] I cluster ECS devono utilizzare Container Insights](ecs-controls.md#ecs-12) 
+  [[ECS.17] Le definizioni delle attività ECS non devono utilizzare la modalità di rete host](ecs-controls.md#ecs-17) 
+  [[EFS.1] Elastic File System deve essere configurato per crittografare i dati dei file inattivi utilizzando AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] I volumi Amazon EFS devono essere inclusi nei piani di backup](efs-controls.md#efs-2) 
+  [[EFS.3] I punti di accesso EFS devono applicare una directory principale](efs-controls.md#efs-3) 
+  [[EFS.4] I punti di accesso EFS devono applicare un'identità utente](efs-controls.md#efs-4) 
+  [[EFS.6] I target di montaggio EFS non devono essere associati a sottoreti che assegnano indirizzi IP pubblici all'avvio](efs-controls.md#efs-6) 
+  [[EKS.1] Gli endpoint del cluster EKS non dovrebbero essere accessibili al pubblico](eks-controls.md#eks-1) 
+  [[EKS.2] I cluster EKS devono essere eseguiti su una versione Kubernetes supportata](eks-controls.md#eks-2) 
+  [[EKS.3] I cluster EKS devono utilizzare segreti Kubernetes crittografati](eks-controls.md#eks-3) 
+  [[EKS.8] I cluster EKS devono avere la registrazione di controllo abilitata](eks-controls.md#eks-8) 
+  [I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] i ElastiCache cluster dovrebbero avere gli aggiornamenti automatici delle versioni secondarie abilitati](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] i gruppi di ElastiCache replica devono avere il failover automatico abilitato](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] i gruppi di ElastiCache replica devono essere crittografati quando sono inattivi](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] i gruppi di ElastiCache replica devono essere crittografati in transito](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) i gruppi di replica delle versioni precedenti devono avere Redis OSS AUTH abilitato](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache i cluster non devono utilizzare il gruppo di sottoreti predefinito](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Gli ambienti Elastic Beanstalk dovrebbero avere la reportistica sullo stato avanzata abilitata](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Gli aggiornamenti della piattaforma gestita da Elastic Beanstalk devono essere abilitati](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ELB.1] Application Load Balancer deve essere configurato per reindirizzare tutte le richieste HTTP a HTTPS](elb-controls.md#elb-1) 
+  [[ELB.2] I sistemi Classic Load Balancer con SSL/HTTPS listener devono utilizzare un certificato fornito da AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ELB.3] I listener Classic Load Balancer devono essere configurati con terminazione HTTPS o TLS](elb-controls.md#elb-3) 
+  [[ELB.4] L'Application Load Balancer deve essere configurato per eliminare le intestazioni http non valide](elb-controls.md#elb-4) 
+  [[ELB.5] La registrazione delle applicazioni e dei sistemi Classic Load Balancers deve essere abilitata](elb-controls.md#elb-5) 
+  [[ELB.6] Application, Gateway e Network Load Balancer devono avere la protezione da eliminazione abilitata](elb-controls.md#elb-6) 
+  [[ELB.7] I Classic Load Balancer devono avere il drenaggio della connessione abilitato](elb-controls.md#elb-7) 
+  [[ELB.8] I Classic Load Balancer con listener SSL devono utilizzare una politica di sicurezza predefinita con una durata elevata AWS Config](elb-controls.md#elb-8) 
+  [[ELB.9] I Classic Load Balancer devono avere il bilanciamento del carico tra zone abilitato](elb-controls.md#elb-9) 
+  [[ELB.10] Classic Load Balancer dovrebbe estendersi su più zone di disponibilità](elb-controls.md#elb-10) 
+  [[ELB.12] Application Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa](elb-controls.md#elb-12) 
+  [[ELB.13] I Load Balancer per applicazioni, reti e gateway devono estendersi su più zone di disponibilità](elb-controls.md#elb-13) 
+  [[ELB.14] Classic Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa](elb-controls.md#elb-14) 
+  [[ELB.16] Gli Application Load Balancer devono essere associati a un ACL web AWS WAF](elb-controls.md#elb-16) 
+  [[ELB.17] Gli Application and Network Load Balancer con listener devono utilizzare le politiche di sicurezza consigliate](elb-controls.md#elb-17) 
+  [[EMR.1] I nodi primari del cluster Amazon EMR non devono avere indirizzi IP pubblici](emr-controls.md#emr-1) 
+  [[EMR.2] L'impostazione di accesso pubblico a blocchi di Amazon EMR deve essere abilitata](emr-controls.md#emr-2) 
+  [[EMR.3] Le configurazioni di sicurezza di Amazon EMR devono essere crittografate quando sono inattive](emr-controls.md#emr-3) 
+  [[EMR.4] Le configurazioni di sicurezza di Amazon EMR devono essere crittografate in transito](emr-controls.md#emr-4) 
+  [[ES.1] I domini Elasticsearch devono avere la crittografia a riposo abilitata](es-controls.md#es-1) 
+  [[ES.2] I domini Elasticsearch non devono essere accessibili al pubblico](es-controls.md#es-2) 
+  [[ES.3] I domini Elasticsearch devono crittografare i dati inviati tra i nodi](es-controls.md#es-3) 
+  [[ES.4] La registrazione degli errori del dominio Elasticsearch nei log deve essere abilitata CloudWatch](es-controls.md#es-4) 
+  [[ES.5] I domini Elasticsearch devono avere la registrazione di controllo abilitata](es-controls.md#es-5) 
+  [[ES.6] I domini Elasticsearch devono avere almeno tre nodi di dati](es-controls.md#es-6) 
+  [[ES.7] I domini Elasticsearch devono essere configurati con almeno tre nodi master dedicati](es-controls.md#es-7) 
+  [[ES.8] Le connessioni ai domini Elasticsearch devono essere crittografate utilizzando la più recente politica di sicurezza TLS](es-controls.md#es-8) 
+  [[EventBridge.3] i bus di eventi EventBridge personalizzati dovrebbero avere una politica basata sulle risorse allegata](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata](eventbridge-controls.md#eventbridge-4) 
+  [[FSx.1] FSx per i file system OpenZFS deve essere configurato per copiare i tag su backup e volumi](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx per i file system Lustre devono essere configurati per copiare i tag nei backup](fsx-controls.md#fsx-2) 
+  [[Glue.4] I job AWS Glue Spark dovrebbero essere eseguiti su versioni supportate di AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.1] GuardDuty dovrebbe essere abilitato](guardduty-controls.md#guardduty-1) 
+  [[IAM.1] Le politiche IAM non dovrebbero consentire privilegi amministrativi «\$1» completi](iam-controls.md#iam-1) 
+  [[IAM.2] Gli utenti IAM non devono avere policy IAM allegate](iam-controls.md#iam-2) 
+  [[IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno](iam-controls.md#iam-3) 
+  [[IAM.4] La chiave di accesso utente root IAM non dovrebbe esistere](iam-controls.md#iam-4) 
+  [[IAM.5] MFA deve essere abilitata per tutti gli utenti IAM che dispongono di una password della console](iam-controls.md#iam-5) 
+  [[IAM.6] L'autenticazione MFA per l'hardware deve essere abilitata per l'utente root](iam-controls.md#iam-6) 
+  [[IAM.7] Le policy relative alle password per gli utenti IAM devono avere configurazioni solide](iam-controls.md#iam-7) 
+  [[IAM.8] Le credenziali utente IAM non utilizzate devono essere rimosse](iam-controls.md#iam-8) 
+  [[IAM.9] L'MFA deve essere abilitata per l'utente root](iam-controls.md#iam-9) 
+  [[IAM.19] L'MFA deve essere abilitata per tutti gli utenti IAM](iam-controls.md#iam-19) 
+  [[IAM.21] Le policy gestite dai clienti IAM che create non dovrebbero consentire azioni jolly per i servizi](iam-controls.md#iam-21) 
+  [[Kinesis.1] Gli stream Kinesis devono essere crittografati quando sono inattivi](kinesis-controls.md#kinesis-1) 
+  [[KMS.1] Le politiche gestite dai clienti di IAM non dovrebbero consentire azioni di decrittografia su tutte le chiavi KMS](kms-controls.md#kms-1) 
+  [[KMS.2] I principali IAM non devono disporre di policy IAM in linea che consentano azioni di decrittografia su tutte le chiavi KMS](kms-controls.md#kms-2) 
+  [[KMS.3] AWS KMS keys non deve essere eliminato involontariamente](kms-controls.md#kms-3) 
+  [[KMS.4] la rotazione dei tasti dovrebbe essere abilitata AWS KMS](kms-controls.md#kms-4) 
+  [[Lambda.1] Le politiche delle funzioni Lambda dovrebbero vietare l'accesso pubblico](lambda-controls.md#lambda-1) 
+  [[Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati](lambda-controls.md#lambda-2) 
+  [[Lambda.3] Le funzioni Lambda devono trovarsi in un VPC](lambda-controls.md#lambda-3) 
+  [[Lambda.5] Le funzioni VPC Lambda devono funzionare in più zone di disponibilità](lambda-controls.md#lambda-5) 
+  [[Lambda.7] Le funzioni Lambda dovrebbero avere la traccia attiva abilitata AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie dovrebbe essere abilitato](macie-controls.md#macie-1) 
+  [[Macie.2] Il rilevamento automatico dei dati sensibili di Macie deve essere abilitato](macie-controls.md#macie-2) 
+  [[MSK.1] I cluster MSK devono essere crittografati durante il transito tra i nodi del broker](msk-controls.md#msk-1) 
+  [[MSK.2] I cluster MSK dovrebbero avere configurato un monitoraggio avanzato](msk-controls.md#msk-2) 
+  [[MQ.2] I broker ActiveMQ devono trasmettere i log di controllo a CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.3] I broker Amazon MQ dovrebbero avere abilitato l'aggiornamento automatico delle versioni secondarie](mq-controls.md#mq-3) 
+  [[MQ.5] I broker ActiveMQ devono utilizzare la modalità di distribuzione active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] I broker RabbitMQ dovrebbero utilizzare la modalità di distribuzione del cluster](mq-controls.md#mq-6) 
+  [[Neptune.1] I cluster Neptune DB devono essere crittografati a riposo](neptune-controls.md#neptune-1) 
+  [[Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche](neptune-controls.md#neptune-3) 
+  [[Neptune.4] I cluster Neptune DB devono avere la protezione da eliminazione abilitata](neptune-controls.md#neptune-4) 
+  [[Neptune.5] I cluster Neptune DB devono avere i backup automatici abilitati](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive](neptune-controls.md#neptune-6) 
+  [[Neptune.7] I cluster Neptune DB devono avere l'autenticazione del database IAM abilitata](neptune-controls.md#neptune-7) 
+  [[Neptune.8] I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee](neptune-controls.md#neptune-8) 
+  [[Neptune.9] I cluster Neptune DB devono essere distribuiti su più zone di disponibilità](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] I firewall Network Firewall devono essere distribuiti su più zone di disponibilità](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] La registrazione del Network Firewall deve essere abilitata](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] Le policy di Network Firewall devono avere almeno un gruppo di regole associato](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] L'azione stateless predefinita per le policy del Network Firewall dovrebbe essere drop or forward per pacchetti completi](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] L'azione stateless predefinita per le policy del Network Firewall dovrebbe essere drop or forward per i pacchetti frammentati](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] Il gruppo di regole Stateless Network Firewall non deve essere vuoto](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] I firewall Network Firewall devono avere la protezione da eliminazione abilitata](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] I firewall Network Firewall devono avere la protezione da cambio di sottorete abilitata](networkfirewall-controls.md#networkfirewall-10) 
+  [I OpenSearch domini [Opensearch.1] devono avere la crittografia a riposo abilitata](opensearch-controls.md#opensearch-1) 
+  [I OpenSearch domini [Opensearch.2] non devono essere accessibili al pubblico](opensearch-controls.md#opensearch-2) 
+  [I OpenSearch domini [Opensearch.3] devono crittografare i dati inviati tra i nodi](opensearch-controls.md#opensearch-3) 
+  [La registrazione degli errori del OpenSearch dominio [Opensearch.4] nei log dovrebbe essere abilitata CloudWatch](opensearch-controls.md#opensearch-4) 
+  [I OpenSearch domini [Opensearch.5] devono avere la registrazione di controllo abilitata](opensearch-controls.md#opensearch-5) 
+  [I OpenSearch domini [Opensearch.6] devono avere almeno tre nodi di dati](opensearch-controls.md#opensearch-6) 
+  [I OpenSearch domini [Opensearch.7] devono avere un controllo degli accessi granulare abilitato](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Le connessioni ai OpenSearch domini devono essere crittografate utilizzando la più recente politica di sicurezza TLS](opensearch-controls.md#opensearch-8) 
+  [Nei OpenSearch domini [Opensearch.10] deve essere installato l'ultimo aggiornamento software](opensearch-controls.md#opensearch-10) 
+  [I OpenSearch domini [Opensearch.11] devono avere almeno tre nodi primari dedicati](opensearch-controls.md#opensearch-11) 
+  [L'autorità di certificazione AWS Private CA principale [PCA.1] deve essere disabilitata](pca-controls.md#pca-1) 
+  [[RDS.1] L'istantanea RDS deve essere privata](rds-controls.md#rds-1) 
+  [[RDS.2] Le istanze DB RDS dovrebbero vietare l'accesso pubblico, come determinato dalla configurazione PubliclyAccessible](rds-controls.md#rds-2) 
+  [[RDS.3] Le istanze database RDS devono avere la crittografia dei dati inattivi abilitata](rds-controls.md#rds-3) 
+  [[RDS.4] Le istantanee dei cluster RDS e le istantanee del database devono essere crittografate quando sono inattive](rds-controls.md#rds-4) 
+  [[RDS.5] Le istanze DB RDS devono essere configurate con più zone di disponibilità](rds-controls.md#rds-5) 
+  [[RDS.6] Il monitoraggio avanzato deve essere configurato per le istanze DB RDS](rds-controls.md#rds-6) 
+  [[RDS.7] I cluster RDS devono avere la protezione da eliminazione abilitata](rds-controls.md#rds-7) 
+  [[RDS.8] Le istanze DB RDS devono avere la protezione da eliminazione abilitata](rds-controls.md#rds-8) 
+  [[RDS.9] Le istanze DB RDS devono pubblicare i log nei registri CloudWatch](rds-controls.md#rds-9)
+  [[RDS.10] L'autenticazione IAM deve essere configurata per le istanze RDS](rds-controls.md#rds-10) 
+  [[RDS.11] Le istanze RDS devono avere i backup automatici abilitati](rds-controls.md#rds-11) 
+  [[RDS.12] L'autenticazione IAM deve essere configurata per i cluster RDS](rds-controls.md#rds-12) 
+  [[RDS.13] Gli aggiornamenti automatici delle versioni secondarie di RDS devono essere abilitati](rds-controls.md#rds-13) 
+  [[RDS.14] I cluster Amazon Aurora devono avere il backtracking abilitato](rds-controls.md#rds-14) 
+  [[RDS.15] I cluster RDS DB devono essere configurati per più zone di disponibilità](rds-controls.md#rds-15) 
+  [[RDS.16] I cluster Aurora DB devono essere configurati per copiare i tag nelle istantanee del DB](rds-controls.md#rds-16) 
+  [[RDS.17] Le istanze DB RDS devono essere configurate per copiare i tag negli snapshot](rds-controls.md#rds-17) 
+  [[RDS.19] Le sottoscrizioni esistenti per le notifiche di eventi RDS devono essere configurate per gli eventi critici del cluster](rds-controls.md#rds-19) 
+  [[RDS.20] Le sottoscrizioni di notifica degli eventi RDS esistenti devono essere configurate per gli eventi critici delle istanze di database](rds-controls.md#rds-20) 
+  [[RDS.21] È necessario configurare un abbonamento alle notifiche di eventi RDS per gli eventi critici del gruppo di parametri del database](rds-controls.md#rds-21) 
+  [[RDS.22] È necessario configurare un abbonamento alle notifiche di eventi RDS per gli eventi critici dei gruppi di sicurezza del database](rds-controls.md#rds-22) 
+  [[RDS.23] Le istanze RDS non devono utilizzare una porta predefinita del motore di database](rds-controls.md#rds-23) 
+  [[RDS.24] I cluster di database RDS devono utilizzare un nome utente di amministratore personalizzato](rds-controls.md#rds-24) 
+  [[RDS.25] Le istanze del database RDS devono utilizzare un nome utente di amministratore personalizzato](rds-controls.md#rds-25) 
+  [[RDS.26] Le istanze DB RDS devono essere protette da un piano di backup](rds-controls.md#rds-26) 
+  [[RDS.27] I cluster RDS DB devono essere crittografati quando sono inattivi](rds-controls.md#rds-27) 
+  [[RDS.34] I cluster Aurora MySQL DB devono pubblicare i log di controllo nei registri CloudWatch](rds-controls.md#rds-34) 
+  [[RDS.35] Nei cluster RDS DB deve essere abilitato l'aggiornamento automatico delle versioni secondarie](rds-controls.md#rds-35) 
+  [[RDS.40] Le istanze DB di RDS per SQL Server devono pubblicare i log nei log CloudWatch](rds-controls.md#rds-40) 
+  [[RDS.42] Le istanze RDS per MariaDB DB dovrebbero pubblicare i log su Logs CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.45] I cluster Aurora MySQL DB devono avere la registrazione di controllo abilitata](rds-controls.md#rds-45) 
+  [[Redshift.1] I cluster Amazon Redshift dovrebbero vietare l'accesso pubblico](redshift-controls.md#redshift-1) 
+  [[Redshift.2] Le connessioni ai cluster Amazon Redshift devono essere crittografate in transito](redshift-controls.md#redshift-2) 
+  [[Redshift.3] I cluster Amazon Redshift devono avere le istantanee automatiche abilitate](redshift-controls.md#redshift-3) 
+  [[Redshift.4] I cluster Amazon Redshift devono avere la registrazione di controllo abilitata](redshift-controls.md#redshift-4) 
+  [[Redshift.6] Amazon Redshift dovrebbe avere gli upgrade automatici alle versioni principali abilitati](redshift-controls.md#redshift-6) 
+  [[Redshift.7] I cluster Redshift devono utilizzare un routing VPC avanzato](redshift-controls.md#redshift-7) 
+  [[Redshift.8] I cluster Amazon Redshift non devono utilizzare il nome utente predefinito di amministratore](redshift-controls.md#redshift-8) 
+  [[Redshift.10] I cluster Redshift devono essere crittografati a riposo](redshift-controls.md#redshift-10) 
+  [[RedshiftServerless.4] I namespace Serverless di Redshift devono essere crittografati con la soluzione gestita dal cliente AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4)
+  [[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2) 
+  [[S3.1] I bucket generici S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-1) 
+  [[S3.2] I bucket S3 per uso generico dovrebbero bloccare l'accesso pubblico in lettura](s3-controls.md#s3-2) 
+  [[S3.3] I bucket generici S3 dovrebbero bloccare l'accesso pubblico in scrittura](s3-controls.md#s3-3) 
+  [[S3.5] I bucket S3 per uso generico devono richiedere l'utilizzo di SSL](s3-controls.md#s3-5) 
+  [[S3.6] Le policy generiche relative ai bucket di S3 dovrebbero limitare l'accesso ad altri Account AWS](s3-controls.md#s3-6) 
+  [[S3.7] I bucket S3 per uso generico devono utilizzare la replica tra regioni](s3-controls.md#s3-7) 
+  [[S3.8] I bucket generici S3 dovrebbero bloccare l'accesso pubblico](s3-controls.md#s3-8) 
+  [[S3.9] I bucket generici S3 devono avere la registrazione degli accessi al server abilitata](s3-controls.md#s3-9) 
+  [[S3.10] I bucket generici S3 con il controllo delle versioni abilitato devono avere configurazioni del ciclo di vita](s3-controls.md#s3-10) 
+  [[S3.11] I bucket generici S3 devono avere le notifiche degli eventi abilitate](s3-controls.md#s3-11) 
+  [[S3.12] non ACLs deve essere usato per gestire l'accesso degli utenti ai bucket generici S3](s3-controls.md#s3-12) 
+  [[S3.13] I bucket generici S3 devono avere configurazioni del ciclo di vita](s3-controls.md#s3-13) 
+  [[S3.14] I bucket generici S3 devono avere il controllo delle versioni abilitato](s3-controls.md#s3-14) 
+  [[S3.15] I bucket generici S3 devono avere Object Lock abilitato](s3-controls.md#s3-15) 
+  [[S3.17] I bucket generici S3 devono essere crittografati quando sono inattivi con AWS KMS keys](s3-controls.md#s3-17) 
+  [[S3.19] I punti di accesso S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-19) 
+  [[S3.20] I bucket S3 per uso generico devono avere l'eliminazione MFA abilitata](s3-controls.md#s3-20) 
+  [[SageMaker.1] Le istanze di SageMaker notebook Amazon non devono avere accesso diretto a Internet](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] le istanze dei SageMaker notebook devono essere avviate in un VPC personalizzato](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Gli utenti non devono avere accesso root alle SageMaker istanze dei notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.4] Le varianti di produzione di SageMaker endpoint devono avere un numero iniziale di istanze superiore a 1](sagemaker-controls.md#sagemaker-4) 
+  [[SecretsManager.1] I segreti di Secrets Manager devono avere la rotazione automatica abilitata](secretsmanager-controls.md#secretsmanager-1) 
+  [[SecretsManager.2] I segreti di Secrets Manager configurati con rotazione automatica dovrebbero ruotare correttamente](secretsmanager-controls.md#secretsmanager-2) 
+  [[SecretsManager.3] Rimuovi i segreti inutilizzati di Secrets Manager](secretsmanager-controls.md#secretsmanager-3) 
+  [[SecretsManager.4] I segreti di Secrets Manager devono essere ruotati entro un determinato numero di giorni](secretsmanager-controls.md#secretsmanager-4) 
+  [[ServiceCatalog.1] I portafogli Service Catalog devono essere condivisi solo all'interno di un'organizzazione AWS](servicecatalog-controls.md#servicecatalog-1) 
+  [[SNS.1] Gli argomenti SNS devono essere crittografati quando sono inattivi utilizzando AWS KMS](sns-controls.md#sns-1) 
+  [[SQS.1] Le code di Amazon SQS devono essere crittografate quando sono inattive](sqs-controls.md#sqs-1) 
+  [[SSM.1] Le istanze Amazon EC2 devono essere gestite da AWS Systems Manager](ssm-controls.md#ssm-1) 
+  [[SSM.2] Le istanze Amazon EC2 gestite da Systems Manager devono avere uno stato di conformità delle patch pari a CONFORME dopo l'installazione della patch](ssm-controls.md#ssm-2) 
+  [[SSM.3] Le istanze Amazon EC2 gestite da Systems Manager devono avere uno stato di conformità dell'associazione pari a COMPLIANT](ssm-controls.md#ssm-3) 
+  [[SSM.4] I documenti SSM non devono essere pubblici](ssm-controls.md#ssm-4) 
+  [[Transfer.2] I server Transfer Family non devono utilizzare il protocollo FTP per la connessione agli endpoint](transfer-controls.md#transfer-2) 
+  [[Transfer.3] I connettori Transfer Family devono avere la registrazione abilitata](transfer-controls.md#transfer-3) 
+  [[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1) 
+  [[WAF.2] Le regole regionali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-2) 
+  [[WAF.3] I gruppi di regole regionali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-3) 
+  [[WAF.4] Il sito Web regionale AWS WAF classico ACLs deve avere almeno una regola o un gruppo di regole](waf-controls.md#waf-4) 
+  [[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione](waf-controls.md#waf-6) 
+  [[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola](waf-controls.md#waf-7) 
+  [[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs dovrebbe avere almeno una regola o un gruppo di regole](waf-controls.md#waf-10) 
+  [[WAF.11] La registrazione AWS WAF web ACL deve essere abilitata](waf-controls.md#waf-11) 
+  [Le regole [WAF.12] devono avere le metriche abilitate AWS WAF CloudWatch](waf-controls.md#waf-12) 

# NIST SP 800-171 Revisione 2 nel Security Hub CSPM
<a name="standards-reference-nist-800-171"></a>

La pubblicazione speciale NIST 800-171 Revision 2 (NIST SP 800-171 Rev. 2) è un framework di sicurezza e conformità informatica sviluppato dal National Institute of Standards and Technology (NIST), un'agenzia che fa parte del Dipartimento del Commercio degli Stati Uniti. Questo framework di conformità fornisce i requisiti di sicurezza consigliati per proteggere la riservatezza delle informazioni controllate non classificate in sistemi e organizzazioni che non fanno parte del governo federale degli Stati Uniti. *Le informazioni non classificate controllate*, note anche come *CUI*, sono informazioni sensibili che non soddisfano i criteri di classificazione governativi ma devono essere protette. Si tratta di informazioni considerate sensibili e create o possedute dal governo federale degli Stati Uniti o da altre entità per conto del governo federale degli Stati Uniti.

NIST SP 800-171 Rev. 2 fornisce i requisiti di sicurezza consigliati per proteggere la riservatezza del CUI quando:
+ Le informazioni risiedono in sistemi e organizzazioni non federali,
+ L'organizzazione non federale non raccoglie o conserva informazioni per conto di un'agenzia federale né utilizza o gestisce un sistema per conto di un'agenzia, e 
+ Non esistono requisiti di salvaguardia specifici per proteggere la riservatezza del CUI prescritti dalla legge, dai regolamenti o dalla politica governativa che autorizza la categoria CUI elencata nel registro CUI. 

I requisiti si applicano a tutti i componenti dei sistemi e delle organizzazioni non federali che elaborano, archiviano o trasmettono i CUI o forniscono protezione di sicurezza per i componenti. Per ulteriori informazioni, vedere [NIST SP 800-171 Rev. 2 nel *NIST* Computer Security Resource Center.](https://csrc.nist.gov/pubs/sp/800/171/r2/upd1/final)

AWS Security Hub CSPM fornisce controlli di sicurezza che supportano un sottoinsieme dei requisiti NIST SP 800-171 Revisione 2. I controlli eseguono controlli di sicurezza automatici per determinate risorse. Servizi AWS Per abilitare e gestire questi controlli, è possibile abilitare il framework NIST SP 800-171 Revision 2 come standard in Security Hub CSPM. Tieni presente che i controlli non supportano i requisiti NIST SP 800-171 Revisione 2 che richiedono controlli manuali.

**Topics**
+ [Configurazione della registrazione delle risorse per lo standard](#standards-reference-nist-800-171-recording)
+ [Determinare quali controlli si applicano allo standard](#standards-reference-nist-800-171-controls)

## Configurazione della registrazione delle risorse per i controlli che si applicano allo standard
<a name="standards-reference-nist-800-171-recording"></a>

Per ottimizzare la copertura e l'accuratezza dei risultati, è importante abilitare e configurare la registrazione delle risorse AWS Config prima di abilitare lo standard NIST SP 800-171 Revision 2 in Security Hub AWS CSPM. Quando configuri la registrazione delle risorse, assicurati anche di abilitarla per tutti i tipi di AWS risorse controllate dai controlli che si applicano allo standard. In caso contrario, Security Hub CSPM potrebbe non essere in grado di valutare le risorse appropriate e generare risultati accurati per i controlli che si applicano allo standard.

Per informazioni su come Security Hub CSPM utilizza la registrazione delle risorse AWS Config, vedere. [Abilitazione e configurazione AWS Config per Security Hub CSPM](securityhub-setup-prereqs.md) *Per informazioni sulla configurazione della registrazione delle risorse in AWS Config, vedere [Lavorare con il registratore di configurazione](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html) nella Guida per gli sviluppatori.AWS Config *

La tabella seguente specifica i tipi di risorse da registrare per i controlli che si applicano allo standard NIST SP 800-171 Revision 2 in Security Hub CSPM.


| Servizio AWS | Tipi di risorse | 
| --- | --- | 
| AWS Certificate Manager(ACM) | `AWS::ACM::Certificate` | 
| Gateway Amazon API | `AWS::ApiGateway::Stage` | 
| Amazon CloudFront | `AWS::CloudFront::Distribution` | 
| Amazon CloudWatch | `AWS::CloudWatch::Alarm` | 
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup`, `AWS::EC2::VPC`, `AWS::EC2::VPNConnection` | 
| Elastic Load Balancing | `AWS::ElasticLoadBalancing::LoadBalancer` | 
| AWS Identity and Access Management(IAM) | `AWS::IAM::Policy`, `AWS::IAM::User` | 
| AWS Key Management Service (AWS KMS) | `AWS::KMS::Alias`, `AWS::KMS::Key` | 
| AWS Network Firewall | `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup` | 
| Servizio Amazon Simple Storage (Amazon S3) | `AWS::S3::Bucket` | 
| Servizio di notifica semplice di Amazon (Amazon SNS) | `AWS::SNS::Topic` | 
| AWS Systems Manager(SSM) | `AWS::SSM::PatchCompliance` | 
| AWS WAF | `AWS::WAFv2::RuleGroup` | 

## Determinare quali controlli si applicano allo standard
<a name="standards-reference-nist-800-171-controls"></a>

L'elenco seguente specifica i controlli che supportano i requisiti NIST SP 800-171 Revisione 2 e si applicano allo standard NIST SP 800-171 Revisione 2 in Security Hub CSPM. AWS Per informazioni dettagliate sui requisiti specifici supportati da un controllo, scegliete il controllo. Quindi, fai riferimento al campo **Requisiti correlati** nei dettagli del controllo. Questo campo specifica ogni requisito NIST supportato dal controllo. Se il campo non specifica un particolare requisito NIST, il controllo non supporta il requisito.
+ [[ACM.1] I certificati importati ed emessi da ACM devono essere rinnovati dopo un periodo di tempo specificato](acm-controls.md#acm-1)
+ [[APIGateway.2] Le fasi API REST di API Gateway devono essere configurate per utilizzare i certificati SSL per l'autenticazione del backend](apigateway-controls.md#apigateway-2)
+ [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10)
+ [[CloudTrail.2] CloudTrail dovrebbe avere la crittografia a riposo abilitata](cloudtrail-controls.md#cloudtrail-2)
+ [[CloudTrail.3] Almeno un trail deve essere abilitato CloudTrail](cloudtrail-controls.md#cloudtrail-3)
+ [[CloudTrail.4] la convalida dei file di CloudTrail registro dovrebbe essere abilitata](cloudtrail-controls.md#cloudtrail-4)
+ [[CloudWatch.1] Dovrebbero esistere un filtro logmetrico e un allarme per l'utilizzo da parte dell'utente «root»](cloudwatch-controls.md#cloudwatch-1)
+ [[CloudWatch.2] Assicurati che esistano un filtro metrico di log e un allarme per le chiamate API non autorizzate](cloudwatch-controls.md#cloudwatch-2)
+ [[CloudWatch.4] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche alle policy IAM](cloudwatch-controls.md#cloudwatch-4)
+ [[CloudWatch.5] Assicurati che esistano un filtro metrico di log e un allarme per le CloudTrail modifiche alla configurazione](cloudwatch-controls.md#cloudwatch-5)
+ [[CloudWatch.6] Assicurati che esistano un filtro metrico di registro e un allarme per gli Console di gestione AWS errori di autenticazione](cloudwatch-controls.md#cloudwatch-6)
+ [[CloudWatch.7] Assicurati che esistano un filtro metrico di registro e un allarme per la disabilitazione o l'eliminazione pianificata delle chiavi gestite dal cliente](cloudwatch-controls.md#cloudwatch-7)
+ [[CloudWatch.8] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche alle policy dei bucket S3](cloudwatch-controls.md#cloudwatch-8)
+ [[CloudWatch.9] Assicurati che esistano un filtro metrico di log e un allarme per le AWS Config modifiche alla configurazione](cloudwatch-controls.md#cloudwatch-9)
+ [[CloudWatch.10] Assicurati che esistano un filtro metrico di registro e un allarme per le modifiche ai gruppi di sicurezza](cloudwatch-controls.md#cloudwatch-10)
+ [[CloudWatch.11] Assicurati che esistano un filtro metrico di registro e un allarme per le modifiche alle liste di controllo degli accessi alla rete (NACL)](cloudwatch-controls.md#cloudwatch-11)
+ [[CloudWatch.12] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche ai gateway di rete](cloudwatch-controls.md#cloudwatch-12)
+ [[CloudWatch.13] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche alla tabella delle rotte](cloudwatch-controls.md#cloudwatch-13)
+ [[CloudWatch.14] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche al VPC](cloudwatch-controls.md#cloudwatch-14)
+ [[CloudWatch.15] gli CloudWatch allarmi devono avere azioni specificate configurate](cloudwatch-controls.md#cloudwatch-15)
+ [[EC2.6] La registrazione del flusso in VPC deve essere abilitata in tutti i casi VPCs](ec2-controls.md#ec2-6)
+ [[EC2.10] Amazon EC2 deve essere configurato per utilizzare endpoint VPC creati per il servizio Amazon EC2](ec2-controls.md#ec2-10)
+ [[EC2.13] I gruppi di sicurezza non devono consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 22](ec2-controls.md#ec2-13)
+ [[EC2.16] Le liste di controllo degli accessi alla rete non utilizzate devono essere rimosse](ec2-controls.md#ec2-16)
+ [[EC2.18] I gruppi di sicurezza devono consentire il traffico in entrata senza restrizioni solo per le porte autorizzate](ec2-controls.md#ec2-18)
+ [[EC2.19] I gruppi di sicurezza non devono consentire l'accesso illimitato alle porte ad alto rischio](ec2-controls.md#ec2-19)
+ [[EC2.20] Entrambi i tunnel VPN per una connessione AWS Site-to-Site VPN devono essere attivi](ec2-controls.md#ec2-20)
+ [[EC2.21] La rete non ACLs dovrebbe consentire l'ingresso dalla porta 0.0.0.0/0 alla porta 22 o alla porta 3389](ec2-controls.md#ec2-21)
+ [[EC2.51] Gli endpoint EC2 Client VPN devono avere la registrazione delle connessioni client abilitata](ec2-controls.md#ec2-51)
+ [[ELB.2] I sistemi Classic Load Balancer con SSL/HTTPS listener devono utilizzare un certificato fornito da AWS Certificate Manager](elb-controls.md#elb-2)
+ [[ELB.3] I listener Classic Load Balancer devono essere configurati con terminazione HTTPS o TLS](elb-controls.md#elb-3)
+ [[ELB.8] I Classic Load Balancer con listener SSL devono utilizzare una politica di sicurezza predefinita con una durata elevata AWS Config](elb-controls.md#elb-8)
+ [[GuardDuty.1] GuardDuty dovrebbe essere abilitato](guardduty-controls.md#guardduty-1)
+ [[IAM.1] Le politiche IAM non dovrebbero consentire privilegi amministrativi «\$1» completi](iam-controls.md#iam-1)
+ [[IAM.2] Gli utenti IAM non devono avere policy IAM allegate](iam-controls.md#iam-2)
+ [[IAM.7] Le policy relative alle password per gli utenti IAM devono avere configurazioni solide](iam-controls.md#iam-7)
+ [[IAM.8] Le credenziali utente IAM non utilizzate devono essere rimosse](iam-controls.md#iam-8)
+ [[IAM.10] Le policy relative alle password per gli utenti IAM devono avere configurazioni solide](iam-controls.md#iam-10)
+ [[IAM.11] Assicurati che la politica delle password IAM richieda almeno una lettera maiuscola](iam-controls.md#iam-11)
+ [[IAM.12] Assicurati che la politica delle password IAM richieda almeno una lettera minuscola](iam-controls.md#iam-12)
+ [[IAM.13] Assicurati che la politica delle password IAM richieda almeno un simbolo](iam-controls.md#iam-13)
+ [[IAM.14] Assicurati che la politica delle password IAM richieda almeno un numero](iam-controls.md#iam-14)
+ [[IAM.15] Assicurati che la politica delle password di IAM richieda una lunghezza minima della password pari o superiore a 14](iam-controls.md#iam-15)
+ [[IAM.16] Assicurati che la politica delle password di IAM impedisca il riutilizzo delle password](iam-controls.md#iam-16)
+ [[IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con Supporto AWS](iam-controls.md#iam-18)
+ [[IAM.19] L'MFA deve essere abilitata per tutti gli utenti IAM](iam-controls.md#iam-19)
+ [[IAM.21] Le policy gestite dai clienti IAM che create non dovrebbero consentire azioni jolly per i servizi](iam-controls.md#iam-21)
+ [[IAM.22] Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse](iam-controls.md#iam-22)
+ [[NetworkFirewall.2] La registrazione del Network Firewall deve essere abilitata](networkfirewall-controls.md#networkfirewall-2)
+ [[NetworkFirewall.3] Le policy di Network Firewall devono avere almeno un gruppo di regole associato](networkfirewall-controls.md#networkfirewall-3)
+ [[NetworkFirewall.5] L'azione stateless predefinita per le policy del Network Firewall dovrebbe essere drop or forward per i pacchetti frammentati](networkfirewall-controls.md#networkfirewall-5)
+ [[NetworkFirewall.6] Il gruppo di regole Stateless Network Firewall non deve essere vuoto](networkfirewall-controls.md#networkfirewall-6)
+ [[S3.5] I bucket S3 per uso generico devono richiedere l'utilizzo di SSL](s3-controls.md#s3-5)
+ [[S3.6] Le policy generiche relative ai bucket di S3 dovrebbero limitare l'accesso ad altri Account AWS](s3-controls.md#s3-6)
+ [[S3.9] I bucket generici S3 devono avere la registrazione degli accessi al server abilitata](s3-controls.md#s3-9)
+ [[S3.11] I bucket generici S3 devono avere le notifiche degli eventi abilitate](s3-controls.md#s3-11)
+ [[S3.14] I bucket generici S3 devono avere il controllo delle versioni abilitato](s3-controls.md#s3-14)
+ [[S3.17] I bucket generici S3 devono essere crittografati quando sono inattivi con AWS KMS keys](s3-controls.md#s3-17)
+ [[SNS.1] Gli argomenti SNS devono essere crittografati quando sono inattivi utilizzando AWS KMS](sns-controls.md#sns-1)
+ [[SSM.2] Le istanze Amazon EC2 gestite da Systems Manager devono avere uno stato di conformità delle patch pari a CONFORME dopo l'installazione della patch](ssm-controls.md#ssm-2)
+ [Le regole [WAF.12] devono avere le metriche abilitate AWS WAF CloudWatch](waf-controls.md#waf-12)

# PCI DSS nel Security Hub CSPM
<a name="pci-standard"></a>

Il Payment Card Industry Data Security Standard (PCI DSS) è un framework di conformità di terze parti che fornisce una serie di regole e linee guida per la gestione sicura dei dati delle carte di credito e di debito. Il PCI Security Standards Council (SSC) crea e aggiorna questo framework.

AWS Security Hub CSPM fornisce uno standard PCI DSS che può aiutarti a rimanere conforme a questo framework di terze parti. È possibile utilizzare questo standard per scoprire le vulnerabilità di sicurezza nelle risorse che gestiscono i dati dei titolari di carta. AWS Si consiglia di abilitare questo standard in presenza di risorse Account AWS che archiviano, elaborano o trasmettono dati dei titolari di carta o dati di autenticazione sensibili. Le valutazioni del PCI SSC hanno convalidato questo standard.

Security Hub CSPM offre supporto sia per PCI DSS v3.2.1 che per PCI DSS v4.0.1. Ti consigliamo di utilizzare la versione 4.0.1 per rimanere aggiornato sulle migliori pratiche di sicurezza. Puoi avere entrambe le versioni dello standard abilitate contemporaneamente. Per informazioni sull'abilitazione degli standard, vedere[Abilitazione di uno standard di sicurezza](enable-standards.md). Se attualmente utilizzi la versione 3.2.1 ma desideri utilizzare solo la versione 4.0.1, abilita la versione più recente prima di disabilitare la versione precedente. In questo modo si evitano lacune nei controlli di sicurezza. Se utilizzi l'integrazione CSPM di Security Hub con AWS Organizations e desideri abilitare in batch la v4.0.1 in più account, ti consigliamo di utilizzare la [configurazione centrale](central-configuration-intro.md) per farlo.

Le seguenti sezioni specificano quali controlli si applicano a PCI DSS v3.2.1 e PCI DSS v4.0.1.

## Controlli che si applicano a PCI DSS v3.2.1
<a name="pci-controls"></a>

L'elenco seguente specifica quali controlli CSPM di Security Hub si applicano a PCI DSS v3.2.1. Per esaminare i dettagli di un controllo, scegli il controllo.

 [[AutoScaling.1] I gruppi di Auto Scaling associati a un sistema di bilanciamento del carico devono utilizzare i controlli di integrità ELB](autoscaling-controls.md#autoscaling-1) 

 [[CloudTrail.2] CloudTrail dovrebbe avere la crittografia a riposo abilitata](cloudtrail-controls.md#cloudtrail-2) 

 [[CloudTrail.3] Almeno un trail deve essere abilitato CloudTrail](cloudtrail-controls.md#cloudtrail-3) 

 [[CloudTrail.4] la convalida dei file di CloudTrail registro dovrebbe essere abilitata](cloudtrail-controls.md#cloudtrail-4) 

 [[CloudTrail.5] i CloudTrail trail devono essere integrati con Amazon Logs CloudWatch](cloudtrail-controls.md#cloudtrail-5) 

 [[CloudWatch.1] Dovrebbero esistere un filtro logmetrico e un allarme per l'utilizzo da parte dell'utente «root»](cloudwatch-controls.md#cloudwatch-1) 

 [[CodeBuild.1] L'archivio dei sorgenti di CodeBuild Bitbucket non URLs deve contenere credenziali sensibili](codebuild-controls.md#codebuild-1) 

 [[CodeBuild.2] Le variabili di ambiente CodeBuild del progetto non devono contenere credenziali di testo non crittografato](codebuild-controls.md#codebuild-2) 

 [[Config.1] AWS Config deve essere abilitato e utilizzare il ruolo collegato al servizio per la registrazione delle risorse](config-controls.md#config-1) 

 [[DMS.1] Le istanze di replica del Database Migration Service non devono essere pubbliche](dms-controls.md#dms-1) 

 [[EC2.1] Gli snapshot di Amazon EBS non devono essere ripristinabili pubblicamente](ec2-controls.md#ec2-1) 

 [[EC2.2] I gruppi di sicurezza VPC predefiniti non dovrebbero consentire il traffico in entrata o in uscita](ec2-controls.md#ec2-2) 

 [[EC2.6] La registrazione del flusso in VPC deve essere abilitata in tutti i casi VPCs](ec2-controls.md#ec2-6) 

 [[EC2.12] Amazon EC2 non utilizzato deve essere rimosso EIPs](ec2-controls.md#ec2-12) 

 [[EC2.13] I gruppi di sicurezza non devono consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 22](ec2-controls.md#ec2-13) 

 [[ELB.1] Application Load Balancer deve essere configurato per reindirizzare tutte le richieste HTTP a HTTPS](elb-controls.md#elb-1) 

 [[ES.1] I domini Elasticsearch devono avere la crittografia a riposo abilitata](es-controls.md#es-1) 

 [[ES.2] I domini Elasticsearch non devono essere accessibili al pubblico](es-controls.md#es-2) 

 [[GuardDuty.1] GuardDuty dovrebbe essere abilitato](guardduty-controls.md#guardduty-1) 

 [[IAM.1] Le politiche IAM non dovrebbero consentire privilegi amministrativi «\$1» completi](iam-controls.md#iam-1) 

 [[IAM.2] Gli utenti IAM non devono avere policy IAM allegate](iam-controls.md#iam-2) 

 [[IAM.4] La chiave di accesso utente root IAM non dovrebbe esistere](iam-controls.md#iam-4) 

 [[IAM.6] L'autenticazione MFA per l'hardware deve essere abilitata per l'utente root](iam-controls.md#iam-6) 

 [[IAM.8] Le credenziali utente IAM non utilizzate devono essere rimosse](iam-controls.md#iam-8) 

 [[IAM.9] L'MFA deve essere abilitata per l'utente root](iam-controls.md#iam-9) 

 [[IAM.10] Le policy relative alle password per gli utenti IAM devono avere configurazioni solide](iam-controls.md#iam-10) 

 [[IAM.19] L'MFA deve essere abilitata per tutti gli utenti IAM](iam-controls.md#iam-19) 

 [[KMS.4] la rotazione dei tasti dovrebbe essere abilitata AWS KMS](kms-controls.md#kms-4) 

 [[Lambda.1] Le politiche delle funzioni Lambda dovrebbero vietare l'accesso pubblico](lambda-controls.md#lambda-1) 

 [[Lambda.3] Le funzioni Lambda devono trovarsi in un VPC](lambda-controls.md#lambda-3) 

 [I OpenSearch domini [Opensearch.1] devono avere la crittografia a riposo abilitata](opensearch-controls.md#opensearch-1) 

 [I OpenSearch domini [Opensearch.2] non devono essere accessibili al pubblico](opensearch-controls.md#opensearch-2) 

 [[RDS.1] L'istantanea RDS deve essere privata](rds-controls.md#rds-1) 

 [[RDS.2] Le istanze DB RDS dovrebbero vietare l'accesso pubblico, come determinato dalla configurazione PubliclyAccessible](rds-controls.md#rds-2) 

 [[Redshift.1] I cluster Amazon Redshift dovrebbero vietare l'accesso pubblico](redshift-controls.md#redshift-1) 

 [[S3.1] I bucket generici S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-1) 

 [[S3.2] I bucket S3 per uso generico dovrebbero bloccare l'accesso pubblico in lettura](s3-controls.md#s3-2) 

 [[S3.3] I bucket generici S3 dovrebbero bloccare l'accesso pubblico in scrittura](s3-controls.md#s3-3) 

 [[S3.5] I bucket S3 per uso generico devono richiedere l'utilizzo di SSL](s3-controls.md#s3-5) 

 [[S3.7] I bucket S3 per uso generico devono utilizzare la replica tra regioni](s3-controls.md#s3-7) 

 [[SageMaker.1] Le istanze di SageMaker notebook Amazon non devono avere accesso diretto a Internet](sagemaker-controls.md#sagemaker-1) 

 [[SSM.1] Le istanze Amazon EC2 devono essere gestite da AWS Systems Manager](ssm-controls.md#ssm-1) 

 [[SSM.2] Le istanze Amazon EC2 gestite da Systems Manager devono avere uno stato di conformità delle patch pari a CONFORME dopo l'installazione della patch](ssm-controls.md#ssm-2) 

 [[SSM.3] Le istanze Amazon EC2 gestite da Systems Manager devono avere uno stato di conformità dell'associazione pari a COMPLIANT](ssm-controls.md#ssm-3) 

## Controlli che si applicano a PCI DSS v4.0.1
<a name="pci4-controls"></a>

L'elenco seguente specifica quali controlli CSPM di Security Hub si applicano a PCI DSS v4.0.1. Per esaminare i dettagli di un controllo, scegli il controllo.

[[ACM.1] I certificati importati ed emessi da ACM devono essere rinnovati dopo un periodo di tempo specificato](acm-controls.md#acm-1)

[[ACM.2] I certificati RSA gestiti da ACM devono utilizzare una lunghezza di chiave di almeno 2.048 bit](acm-controls.md#acm-2)

[[APIGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages](apigateway-controls.md#apigateway-9)

[[AppSync.2] AWS AppSync dovrebbe avere la registrazione a livello di campo abilitata](appsync-controls.md#appsync-2)

[[AutoScaling.3] Le configurazioni di avvio del gruppo Auto Scaling devono EC2 configurare le istanze in modo da richiedere Instance Metadata Service versione 2 () IMDSv2](autoscaling-controls.md#autoscaling-3)

[[Autoscaling.5] Le istanze EC2 Amazon avviate utilizzando le configurazioni di avvio del gruppo Auto Scaling non devono avere indirizzi IP pubblici](autoscaling-controls.md#autoscaling-5)

[[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato](cloudfront-controls.md#cloudfront-1)

[[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10)

[[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti](cloudfront-controls.md#cloudfront-12)

[[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito](cloudfront-controls.md#cloudfront-3)

[[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata](cloudfront-controls.md#cloudfront-5)

[[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato](cloudfront-controls.md#cloudfront-6)

[[CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate](cloudfront-controls.md#cloudfront-9)

[[CloudTrail.2] CloudTrail dovrebbe avere la crittografia a riposo abilitata](cloudtrail-controls.md#cloudtrail-2)

[[CloudTrail.3] Almeno un trail deve essere abilitato CloudTrail](cloudtrail-controls.md#cloudtrail-3)

[[CloudTrail.4] la convalida dei file di CloudTrail registro dovrebbe essere abilitata](cloudtrail-controls.md#cloudtrail-4)

[[CloudTrail.6] Assicurati che il bucket S3 utilizzato per archiviare i log non sia accessibile al pubblico CloudTrail](cloudtrail-controls.md#cloudtrail-6)

[[CloudTrail.7] Assicurati che la registrazione degli accessi al bucket S3 sia abilitata sul bucket S3 CloudTrail](cloudtrail-controls.md#cloudtrail-7)

[[CodeBuild.1] L'archivio dei sorgenti di CodeBuild Bitbucket non URLs deve contenere credenziali sensibili](codebuild-controls.md#codebuild-1)

[[CodeBuild.2] Le variabili di ambiente CodeBuild del progetto non devono contenere credenziali di testo non crittografato](codebuild-controls.md#codebuild-2)

[[CodeBuild.3] I log CodeBuild S3 devono essere crittografati](codebuild-controls.md#codebuild-3)

[[DMS.1] Le istanze di replica del Database Migration Service non devono essere pubbliche](dms-controls.md#dms-1)

[[DMS.10] Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata](dms-controls.md#dms-10)

[[DMS.11] Gli endpoint DMS per MongoDB devono avere un meccanismo di autenticazione abilitato](dms-controls.md#dms-11)

[[DMS.12] Gli endpoint DMS per Redis OSS devono avere TLS abilitato](dms-controls.md#dms-12)

[[DMS.6] Le istanze di replica DMS devono avere l'aggiornamento automatico delle versioni secondarie abilitato](dms-controls.md#dms-6)

[[DMS.7] Le attività di replica DMS per il database di destinazione devono avere la registrazione abilitata](dms-controls.md#dms-7)

[[DMS.8] Le attività di replica DMS per il database di origine devono avere la registrazione abilitata](dms-controls.md#dms-8)

[[DMS.9] Gli endpoint DMS devono utilizzare SSL](dms-controls.md#dms-9)

[[DocumentDB.2] I cluster Amazon DocumentDB devono avere un periodo di conservazione dei backup adeguato](documentdb-controls.md#documentdb-2)

[[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche](documentdb-controls.md#documentdb-3)

[[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch](documentdb-controls.md#documentdb-4)

[[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito](dynamodb-controls.md#dynamodb-7)

[[EC2.13] I gruppi di sicurezza non devono consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 22](ec2-controls.md#ec2-13)

[[EC2.14] I gruppi di sicurezza non dovrebbero consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 3389](ec2-controls.md#ec2-14)

[[EC2.15] Le sottoreti Amazon EC2 non devono assegnare automaticamente indirizzi IP pubblici](ec2-controls.md#ec2-15)

[[EC2.16] Le liste di controllo degli accessi alla rete non utilizzate devono essere rimosse](ec2-controls.md#ec2-16)

[[EC2.170] I modelli di lancio di EC2 devono utilizzare Instance Metadata Service Version 2 () IMDSv2](ec2-controls.md#ec2-170)

[[EC2.171] Le connessioni VPN EC2 devono avere la registrazione abilitata](ec2-controls.md#ec2-171)

[[EC2.21] La rete non ACLs dovrebbe consentire l'ingresso dalla porta 0.0.0.0/0 alla porta 22 o alla porta 3389](ec2-controls.md#ec2-21)

[[EC2.25] I modelli di lancio di Amazon EC2 non devono IPs assegnare interfacce di rete pubbliche](ec2-controls.md#ec2-25)

[[EC2.51] Gli endpoint EC2 Client VPN devono avere la registrazione delle connessioni client abilitata](ec2-controls.md#ec2-51)

[[EC2.53] I gruppi di sicurezza EC2 non dovrebbero consentire l'accesso da 0.0.0.0/0 alle porte di amministrazione remota del server](ec2-controls.md#ec2-53)

[[EC2.54] I gruppi di sicurezza EC2 non dovrebbero consentire l'accesso da: :/0 alle porte di amministrazione remota del server](ec2-controls.md#ec2-54)

[[EC2.8] Le istanze EC2 devono utilizzare Instance Metadata Service versione 2 () IMDSv2](ec2-controls.md#ec2-8)

[[ECR.1] Gli archivi privati ECR devono avere la scansione delle immagini configurata](ecr-controls.md#ecr-1)

[[ECS.10] I servizi ECS Fargate devono essere eseguiti sulla versione più recente della piattaforma Fargate](ecs-controls.md#ecs-10)

[[ECS.16] I set di attività ECS non devono assegnare automaticamente indirizzi IP pubblici](ecs-controls.md#ecs-16)

[[ECS.2] Ai servizi ECS non devono essere assegnati automaticamente indirizzi IP pubblici](ecs-controls.md#ecs-2)

[[ECS.8] I segreti non devono essere passati come variabili di ambiente del contenitore](ecs-controls.md#ecs-8)

[[EFS.4] I punti di accesso EFS devono applicare un'identità utente](efs-controls.md#efs-4)

[[EKS.1] Gli endpoint del cluster EKS non dovrebbero essere accessibili al pubblico](eks-controls.md#eks-1)

[[EKS.2] I cluster EKS devono essere eseguiti su una versione Kubernetes supportata](eks-controls.md#eks-2)

[[EKS.3] I cluster EKS devono utilizzare segreti Kubernetes crittografati](eks-controls.md#eks-3)

[[EKS.8] I cluster EKS devono avere la registrazione di controllo abilitata](eks-controls.md#eks-8)

[[ElastiCache.2] i ElastiCache cluster dovrebbero avere gli aggiornamenti automatici delle versioni secondarie abilitati](elasticache-controls.md#elasticache-2)

[[ElastiCache.5] i gruppi di ElastiCache replica devono essere crittografati in transito](elasticache-controls.md#elasticache-5)

[[ElastiCache.6] ElastiCache (Redis OSS) i gruppi di replica delle versioni precedenti devono avere Redis OSS AUTH abilitato](elasticache-controls.md#elasticache-6)

[[ElasticBeanstalk.2] Gli aggiornamenti della piattaforma gestita da Elastic Beanstalk devono essere abilitati](elasticbeanstalk-controls.md#elasticbeanstalk-2)

[[ElasticBeanstalk.3] Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3)

[[ELB.12] Application Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa](elb-controls.md#elb-12)

[[ELB.14] Classic Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa](elb-controls.md#elb-14)

[[ELB.3] I listener Classic Load Balancer devono essere configurati con terminazione HTTPS o TLS](elb-controls.md#elb-3)

[[ELB.4] L'Application Load Balancer deve essere configurato per eliminare le intestazioni http non valide](elb-controls.md#elb-4)

[[ELB.8] I Classic Load Balancer con listener SSL devono utilizzare una politica di sicurezza predefinita con una durata elevata AWS Config](elb-controls.md#elb-8)

[[EMR.1] I nodi primari del cluster Amazon EMR non devono avere indirizzi IP pubblici](emr-controls.md#emr-1)

[[EMR.2] L'impostazione di accesso pubblico a blocchi di Amazon EMR deve essere abilitata](emr-controls.md#emr-2)

[[ES.2] I domini Elasticsearch non devono essere accessibili al pubblico](es-controls.md#es-2)

[[ES.3] I domini Elasticsearch devono crittografare i dati inviati tra i nodi](es-controls.md#es-3)

[[ES.5] I domini Elasticsearch devono avere la registrazione di controllo abilitata](es-controls.md#es-5)

[[ES.8] Le connessioni ai domini Elasticsearch devono essere crittografate utilizzando la più recente politica di sicurezza TLS](es-controls.md#es-8)

[[EventBridge.3] i bus di eventi EventBridge personalizzati dovrebbero avere una politica basata sulle risorse allegata](eventbridge-controls.md#eventbridge-3)

[[GuardDuty.1] GuardDuty dovrebbe essere abilitato](guardduty-controls.md#guardduty-1)

[[GuardDuty.10] La protezione GuardDuty S3 deve essere abilitata](guardduty-controls.md#guardduty-10)

[[GuardDuty.6] La protezione GuardDuty Lambda deve essere abilitata](guardduty-controls.md#guardduty-6)

[[GuardDuty.7] GuardDuty EKS Runtime Monitoring deve essere abilitato](guardduty-controls.md#guardduty-7)

[[GuardDuty.9] GuardDuty La protezione RDS deve essere abilitata](guardduty-controls.md#guardduty-9)

[[IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno](iam-controls.md#iam-3)

[[IAM.5] MFA deve essere abilitata per tutti gli utenti IAM che dispongono di una password della console](iam-controls.md#iam-5)

[[IAM.6] L'autenticazione MFA per l'hardware deve essere abilitata per l'utente root](iam-controls.md#iam-6)

[[IAM.7] Le policy relative alle password per gli utenti IAM devono avere configurazioni solide](iam-controls.md#iam-7)

[[IAM.8] Le credenziali utente IAM non utilizzate devono essere rimosse](iam-controls.md#iam-8)

[[IAM.9] L'MFA deve essere abilitata per l'utente root](iam-controls.md#iam-9)

[[IAM.11] Assicurati che la politica delle password IAM richieda almeno una lettera maiuscola](iam-controls.md#iam-11)

[[IAM.12] Assicurati che la politica delle password IAM richieda almeno una lettera minuscola](iam-controls.md#iam-12)

[[IAM.14] Assicurati che la politica delle password IAM richieda almeno un numero](iam-controls.md#iam-14)

[[IAM.16] Assicurati che la politica delle password di IAM impedisca il riutilizzo delle password](iam-controls.md#iam-16)

[[IAM.17] Assicurati che la policy sulle password di IAM faccia scadere le password entro 90 giorni o meno](iam-controls.md#iam-17)

[[IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con Supporto AWS](iam-controls.md#iam-18)

[[IAM.19] L'MFA deve essere abilitata per tutti gli utenti IAM](iam-controls.md#iam-19)

[[Inspector.1] La scansione di Amazon Inspector deve essere abilitata EC2](inspector-controls.md#inspector-1)

[[Inspector.2] La scansione ECR di Amazon Inspector deve essere abilitata](inspector-controls.md#inspector-2)

[[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-3)

[[Inspector.4] La scansione standard di Amazon Inspector Lambda deve essere abilitata](inspector-controls.md#inspector-4)

[[KMS.4] la rotazione dei tasti dovrebbe essere abilitata AWS KMS](kms-controls.md#kms-4)

[[Lambda.1] Le politiche delle funzioni Lambda dovrebbero vietare l'accesso pubblico](lambda-controls.md#lambda-1)

[[Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati](lambda-controls.md#lambda-2)

[[MQ.2] I broker ActiveMQ devono trasmettere i log di controllo a CloudWatch](mq-controls.md#mq-2)

[[MQ.3] I broker Amazon MQ dovrebbero avere abilitato l'aggiornamento automatico delle versioni secondarie](mq-controls.md#mq-3)

[[MSK.1] I cluster MSK devono essere crittografati durante il transito tra i nodi del broker](msk-controls.md#msk-1)

[[MSK.3] I connettori MSK Connect devono essere crittografati in transito](msk-controls.md#msk-3)

[[Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch](neptune-controls.md#neptune-2)

[[Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche](neptune-controls.md#neptune-3)

[Nei OpenSearch domini [Opensearch.10] deve essere installato l'ultimo aggiornamento software](opensearch-controls.md#opensearch-10)

[I OpenSearch domini [Opensearch.5] devono avere la registrazione di controllo abilitata](opensearch-controls.md#opensearch-5)

[[RDS.13] Gli aggiornamenti automatici delle versioni secondarie di RDS devono essere abilitati](rds-controls.md#rds-13)

[[RDS.2] Le istanze DB RDS dovrebbero vietare l'accesso pubblico, come determinato dalla configurazione PubliclyAccessible](rds-controls.md#rds-2)

[[RDS.20] Le sottoscrizioni di notifica degli eventi RDS esistenti devono essere configurate per gli eventi critici delle istanze di database](rds-controls.md#rds-20)

[[RDS.21] È necessario configurare un abbonamento alle notifiche di eventi RDS per gli eventi critici del gruppo di parametri del database](rds-controls.md#rds-21)

[[RDS.22] È necessario configurare un abbonamento alle notifiche di eventi RDS per gli eventi critici dei gruppi di sicurezza del database](rds-controls.md#rds-22)

[[RDS.24] I cluster di database RDS devono utilizzare un nome utente di amministratore personalizzato](rds-controls.md#rds-24)

[[RDS.25] Le istanze del database RDS devono utilizzare un nome utente di amministratore personalizzato](rds-controls.md#rds-25)

[[RDS.34] I cluster Aurora MySQL DB devono pubblicare i log di controllo nei registri CloudWatch](rds-controls.md#rds-34)

[[RDS.35] Nei cluster RDS DB deve essere abilitato l'aggiornamento automatico delle versioni secondarie](rds-controls.md#rds-35)

[[RDS.36] Le istanze DB di RDS per PostgreSQL devono pubblicare i log nei log CloudWatch](rds-controls.md#rds-36)

[[RDS.37] I cluster Aurora PostgreSQL DB devono pubblicare i log nei log CloudWatch](rds-controls.md#rds-37)

[[RDS.9] Le istanze DB RDS devono pubblicare i log nei registri CloudWatch](rds-controls.md#rds-9)

[[Redshift.1] I cluster Amazon Redshift dovrebbero vietare l'accesso pubblico](redshift-controls.md#redshift-1)

[[Redshift.15] I gruppi di sicurezza Redshift dovrebbero consentire l'ingresso sulla porta del cluster solo da origini limitate](redshift-controls.md#redshift-15)

[[Redshift.2] Le connessioni ai cluster Amazon Redshift devono essere crittografate in transito](redshift-controls.md#redshift-2)

[[Redshift.4] I cluster Amazon Redshift devono avere la registrazione di controllo abilitata](redshift-controls.md#redshift-4)

[[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS](route53-controls.md#route53-2)

[[S3.1] I bucket generici S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-1)

[[S3.15] I bucket generici S3 devono avere Object Lock abilitato](s3-controls.md#s3-15)

[[S3.17] I bucket generici S3 devono essere crittografati quando sono inattivi con AWS KMS keys](s3-controls.md#s3-17)

[[S3.19] I punti di accesso S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-19)

[[S3.22] I bucket S3 per uso generico devono registrare gli eventi di scrittura a livello di oggetto](s3-controls.md#s3-22)

[[S3.23] I bucket S3 per uso generico devono registrare gli eventi di lettura a livello di oggetto](s3-controls.md#s3-23)

[[S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate](s3-controls.md#s3-24)

[[S3.5] I bucket S3 per uso generico devono richiedere l'utilizzo di SSL](s3-controls.md#s3-5)

[[S3.8] I bucket generici S3 dovrebbero bloccare l'accesso pubblico](s3-controls.md#s3-8)

[[S3.9] I bucket generici S3 devono avere la registrazione degli accessi al server abilitata](s3-controls.md#s3-9)

[[SageMaker.1] Le istanze di SageMaker notebook Amazon non devono avere accesso diretto a Internet](sagemaker-controls.md#sagemaker-1)

[[SecretsManager.1] I segreti di Secrets Manager devono avere la rotazione automatica abilitata](secretsmanager-controls.md#secretsmanager-1)

[[SecretsManager.2] I segreti di Secrets Manager configurati con rotazione automatica dovrebbero ruotare correttamente](secretsmanager-controls.md#secretsmanager-2)

[[SecretsManager.4] I segreti di Secrets Manager devono essere ruotati entro un determinato numero di giorni](secretsmanager-controls.md#secretsmanager-4)

[[SSM.2] Le istanze Amazon EC2 gestite da Systems Manager devono avere uno stato di conformità delle patch pari a CONFORME dopo l'installazione della patch](ssm-controls.md#ssm-2)

[[SSM.3] Le istanze Amazon EC2 gestite da Systems Manager devono avere uno stato di conformità dell'associazione pari a COMPLIANT](ssm-controls.md#ssm-3)

[[StepFunctions.1] Le macchine a stati Step Functions dovrebbero avere la registrazione attivata](stepfunctions-controls.md#stepfunctions-1)

[[Transfer.2] I server Transfer Family non devono utilizzare il protocollo FTP per la connessione agli endpoint](transfer-controls.md#transfer-2)

[[WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata](waf-controls.md#waf-1)

[[WAF.11] La registrazione AWS WAF web ACL deve essere abilitata](waf-controls.md#waf-11)

# Standard di gestione dei servizi in Security Hub CSPM
<a name="service-managed-standards"></a>

Uno standard gestito dai servizi è uno standard di sicurezza Servizio AWS gestito da un altro ma che è possibile visualizzare in Security Hub CSPM. Ad esempio, [Service-Managed Standard: AWS Control Towerè uno standard gestito dai](service-managed-standard-aws-control-tower.md) servizi che gestisce. AWS Control Tower Uno standard gestito dai servizi si differenzia da uno standard di sicurezza gestito da AWS Security Hub CSPM nei seguenti modi:
+ **Creazione ed eliminazione di standard**: è possibile creare ed eliminare uno standard gestito dal servizio con la console o l'API del servizio di gestione oppure con. AWS CLI Finché non crei lo standard nel servizio di gestione in uno di questi modi, lo standard non viene visualizzato nella console CSPM di Security Hub e non è accessibile tramite l'API CSPM di Security Hub o. AWS CLI
+ **Nessuna attivazione automatica dei controlli**: quando si crea uno standard gestito dal servizio, Security Hub CSPM e il servizio di gestione non abilitano automaticamente i controlli che si applicano allo standard. Inoltre, quando Security Hub CSPM rilascia nuovi controlli per lo standard, questi non vengono abilitati automaticamente. Si tratta di un allontanamento dagli standard gestiti da Security Hub CSPM. Per ulteriori informazioni sul modo consueto di configurare i controlli in Security Hub CSPM, vedere. [Comprendere i controlli di sicurezza in Security Hub CSPM](controls-view-manage.md)
+ **Abilitazione e disabilitazione dei controlli**: consigliamo di abilitare e disabilitare i controlli nel servizio di gestione per evitare deviazioni.
+ **Disponibilità dei controlli**: il servizio di gestione sceglie quali controlli sono disponibili come parte dello standard di gestione dei servizi. I controlli disponibili possono includere tutti o un sottoinsieme dei controlli CSPM esistenti di Security Hub.

Dopo che il servizio di gestione ha creato lo standard gestito dal servizio e reso disponibili i relativi controlli, puoi accedere ai risultati del controllo, agli stati dei controlli e al punteggio di sicurezza standard nella console CSPM di Security Hub, nell'API CSPM di Security Hub o. AWS CLI Alcune o tutte queste informazioni potrebbero essere disponibili anche nel servizio di gestione.

Seleziona uno standard gestito dal servizio dall'elenco seguente per visualizzare ulteriori dettagli al riguardo.

**Topics**
+ [

# Standard di gestione dei servizi: AWS Control Tower
](service-managed-standard-aws-control-tower.md)

# Standard di gestione dei servizi: AWS Control Tower
<a name="service-managed-standard-aws-control-tower"></a>

Questa sezione fornisce informazioni su Service-Managed Standard:. AWS Control Tower

## Che cos'è Service-Managed Standard:? AWS Control Tower
<a name="aws-control-tower-standard-summary"></a>

Service-Managed Standard: AWS Control Tower è uno standard gestito dai servizi che AWS Control Tower gestisce che supporta un sottoinsieme di controlli Security Hub. Questo standard è progettato per gli utenti di AWS Security Hub CSPM e. AWS Control Tower Consente di configurare i controlli di rilevamento di Security Hub CSPM dal AWS Control Tower servizio.

I controlli investigativi rilevano la non conformità delle risorse (ad esempio, configurazioni errate) all'interno dell'azienda. Account AWS

**Suggerimento**  
Gli standard gestiti dai servizi differiscono dagli standard gestiti da AWS Security Hub CSPM. Ad esempio, è necessario creare ed eliminare uno standard gestito dai servizi nel servizio di gestione. Per ulteriori informazioni, consulta [Standard di gestione dei servizi in Security Hub CSPM](service-managed-standards.md).

Quando abiliti un controllo CSPM di Security Hub tramite AWS Control Tower, Control Tower abilita anche Security Hub CSPM per te in quegli account e regioni specifici, se non è già abilitato. Nella console e nell'API di Security Hub CSPM, puoi visualizzare Service-Managed Standard: insieme ad altri standard CSPM di AWS Control Tower Security Hub, una volta abilitato lo standard da. AWS Control Tower

Per ulteriori informazioni su questo standard, consulta i [controlli CSPM di Security Hub nella Guida](https://docs.aws.amazon.com/controltower/latest/userguide/security-hub-controls.html) per l'*AWS Control Tower utente*.

## Creazione dello standard
<a name="aws-control-tower-standard-creation"></a>

Questo standard è disponibile in Security Hub CSPM solo se si abilitano i controlli CSPM di Security Hub da. AWS Control Tower AWS Control Tower crea lo standard quando si abilita per la prima volta un controllo applicabile utilizzando uno dei seguenti metodi:
+ AWS Control Tower console
+ AWS Control Tower API (chiama l'[https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html)API)
+ AWS CLI (esegui il [https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html)comando)

Quando abiliti un controllo CSPM di Security Hub tramite AWS Control Tower, se non hai già abilitato Security Hub CSPM, abilita anche AWS Control Tower Security Hub CSPM per te in quegli account e regioni specifici.

Per identificare un controllo CSPM di Security Hub tramite l'ID di controllo in Control Catalog, puoi utilizzare il campo `Implementation.Identifier` in. AWS Control Tower Questo campo è mappato all'ID di controllo CSPM di Security Hub e può essere utilizzato per filtrare un ID di controllo specifico. Per recuperare i metadati di controllo per uno specifico controllo CSPM di Security Hub (ad esempio, "CodeBuild.1") in AWS Control Tower, puoi utilizzare l'API: [https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html](https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html)

`aws controlcatalog list-controls --filter '{"Implementations":{"Identifiers":["CodeBuild.1"],"Types":["AWS::SecurityHub::SecurityControl"]}}'` 

Non puoi visualizzare o accedere a questo standard nella console CSPM di Security Hub, nell'API CSPM di Security Hub o AWS CLI senza prima configurare e abilitare i controlli CSPM di AWS Control Tower Security Hub AWS Control Tower utilizzando uno dei metodi precedenti.

[Questo standard è disponibile solo dove è disponibile.Regioni AWSAWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/region-how.html)

## Abilitazione e disabilitazione dei controlli nello standard
<a name="aws-control-tower-standard-managing-controls"></a>

Dopo aver abilitato i controlli CSPM di Security Hub AWS Control Tower e aver creato lo standard Service-Managed AWS Control Tower Standard: è possibile visualizzare lo standard e i relativi controlli disponibili in Security Hub CSPM.

Quando Security Hub CSPM aggiunge nuovi controlli al Service-Managed Standard: AWS Control Tower standard, questi non vengono abilitati automaticamente per i clienti che hanno lo standard abilitato. È necessario abilitare e disabilitare i controlli per lo standard AWS Control Tower utilizzando uno dei seguenti metodi:
+ AWS Control Tower console
+ AWS Control Tower API (chiama [https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html)and [https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html) APIs)
+ AWS CLI (esegui i [https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html)comandi [https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html)and)

Quando si modifica lo stato di attivazione di un controllo in AWS Control Tower, la modifica si riflette anche in Security Hub CSPM.

Tuttavia, la disabilitazione di un controllo in Security Hub CSPM abilitato in AWS Control Tower comporta una deriva del controllo. Lo stato del controllo in viene visualizzato come. AWS Control Tower `Drifted` È possibile risolvere questa deriva utilizzando l'[ResetEnabledControl](https://docs.aws.amazon.com/controltower/latest/APIReference/API_ResetEnabledControl.html)API per reimpostare il controllo in corso, selezionando [Registra nuovamente l'unità organizzativa](https://docs.aws.amazon.com/controltower/latest/userguide/drift.html#resolving-drift) nella AWS Control Tower console o disabilitando e riabilitando il controllo AWS Control Tower utilizzando uno dei metodi precedenti.

Il completamento delle azioni di attivazione e disabilitazione in consente di evitare la deriva del controllo. AWS Control Tower 

Quando abiliti o disabiliti i controlli in AWS Control Tower, l'azione si applica a tutti gli account e alle regioni governati da. AWS Control Tower Se abiliti e disabiliti i controlli in Security Hub CSPM (non consigliato per questo standard), l'azione si applica solo all'account e alla regione correnti.

**Nota**  
[La configurazione centrale](central-configuration-intro.md) non può essere utilizzata per gestire Service-Managed Standard:. AWS Control Tower Puoi utilizzare *solo* il AWS Control Tower servizio per abilitare e disabilitare i controlli in questo standard.

## Visualizzazione dello stato di attivazione e dello stato di controllo
<a name="aws-control-tower-standard-control-status"></a>

È possibile visualizzare lo stato di attivazione di un controllo utilizzando uno dei seguenti metodi:
+ Console CSPM Security Hub, API CSPM Security Hub o AWS CLI
+ AWS Control Tower console
+ AWS Control Tower API per visualizzare un elenco di controlli abilitati (chiama l'[https://docs.aws.amazon.com/controltower/latest/APIReference/API_ListEnabledControls.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_ListEnabledControls.html)API)
+ AWS CLI per visualizzare un elenco di controlli abilitati (esegui il [https://docs.aws.amazon.com/cli/latest/reference/controltower/list-enabled-controls.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/list-enabled-controls.html)comando)

Un controllo che disabiliti AWS Control Tower ha lo stato di attivazione in Security Hub CSPM, `Disabled` a meno che non abiliti esplicitamente tale controllo in Security Hub CSPM.

Security Hub CSPM calcola lo stato del controllo in base allo stato del flusso di lavoro e allo stato di conformità dei risultati del controllo. Per ulteriori informazioni sullo stato di attivazione e sullo stato di controllo, vedere. [Revisione dei dettagli dei controlli in Security Hub CSPM](securityhub-standards-control-details.md)

In base agli stati di controllo, Security Hub CSPM calcola un [punteggio di sicurezza](standards-security-score.md) per Service-Managed Standard:. AWS Control Tower Questo punteggio è disponibile solo in Security Hub CSPM. Inoltre, è possibile visualizzare i [risultati del controllo](controls-findings-create-update.md) solo in Security Hub CSPM. Il punteggio di sicurezza standard e i risultati del controllo non sono disponibili in. AWS Control Tower

**Nota**  
Quando abiliti i controlli per Service-Managed Standard: AWS Control Tower, Security Hub CSPM può impiegare fino a 18 ore per generare risultati per i controlli che utilizzano una regola esistente collegata al servizio. AWS Config Potresti avere regole collegate ai servizi esistenti se hai abilitato altri standard e controlli in Security Hub CSPM. Per ulteriori informazioni, consulta [Pianificazione dell'esecuzione dei controlli di sicurezza](securityhub-standards-schedule.md).

## Eliminazione dello standard
<a name="aws-control-tower-standard-deletion"></a>

È possibile eliminare questo standard gestito AWS Control Tower dal servizio disabilitando tutti i controlli applicabili utilizzando uno dei seguenti metodi:
+ AWS Control Tower console
+ AWS Control Tower API (chiama l'[https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html)API)
+ AWS CLI (esegui il [https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html)comando)

La disabilitazione di tutti i controlli elimina lo standard in tutti gli account gestiti e nelle regioni governate in. AWS Control Tower L'eliminazione dello standard lo AWS Control Tower rimuove dalla pagina **Standard** della console CSPM di Security Hub e non è più possibile accedervi utilizzando l'API CSPM di Security Hub o. AWS CLI

**Nota**  
 La disabilitazione di tutti i controlli dallo standard in Security Hub CSPM non disabilita o elimina lo standard. 

La disattivazione del servizio CSPM Security Hub rimuove Service-Managed Standard AWS Control Tower e tutti gli altri standard che hai abilitato.

## Trova il formato dei campi per Service-Managed Standard: AWS Control Tower
<a name="aws-control-tower-standard-finding-fields"></a>

Quando crei Service-Managed Standard: AWS Control Tower e ne abiliti i controlli, inizierai a ricevere i risultati del controllo in Security Hub CSPM. Security Hub CSPM riporta i risultati del controllo in. [AWS Formato ASFF (Security Finding Format)](securityhub-findings-format.md) Questi sono i valori ASFF per Amazon Resource Name (ARN) di questo standard e: `GeneratorId`
+ **ARN standard** — `arn:aws:us-east-1:securityhub:::standards/service-managed-aws-control-tower/v/1.0.0`
+ **GeneratorId** – `service-managed-aws-control-tower/v/1.0.0/CodeBuild.1`

Per un esempio di risultato per Service-Managed Standard: AWS Control Tower, vedere. [Esempi di risultati di controllo](sample-control-findings.md)

## Controlli che si applicano a Service-Managed Standard: AWS Control Tower
<a name="aws-control-tower-standard-controls"></a>

Service-Managed Standard: AWS Control Tower supporta un sottoinsieme di controlli che fanno parte dello standard AWS Foundational Security Best Practices (FSBP). Scegliete un controllo per visualizzarne le informazioni, incluse le procedure di correzione in caso di risultati non riusciti.

Per vedere da cosa sono supportati i controlli CSPM di Security Hub AWS Control Tower, puoi utilizzare uno dei seguenti metodi:
+ AWS Controlla la console Catalog per cui puoi filtrare `“Control owner = AWS Security Hub”`
+ AWS L'API Control Catalog (chiama l'[https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html](https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html)API) con filtro `Implementations` per cui verificare `Types` è `AWS::SecurityHub::SecurityControl`
+ AWS CLI (esegui il [https://docs.aws.amazon.com/cli/latest/reference/controlcatalog/list-controls.html](https://docs.aws.amazon.com/cli/latest/reference/controlcatalog/list-controls.html)comando) con filtro per`Implementations`. Esempio di comando CLI:

  `aws controlcatalog list-controls --filter '{"Implementations":{"Types":["AWS::SecurityHub::SecurityControl"]}}'`

I limiti regionali sui controlli CSPM di Security Hub, se abilitati tramite lo standard Control Tower, potrebbero non corrispondere ai limiti regionali sui controlli sottostanti.

In Security Hub CSPM, se [i risultati del controllo consolidato](controls-findings-create-update.md#consolidated-control-findings) sono disattivati nel tuo account, il `ProductFields.ControlId` campo dei risultati generati utilizza l'ID di controllo standard. **L'ID di controllo basato su standard è formattato come CT. ***ControlId***(ad esempio, CT. CodeBuild.1**).

Per ulteriori informazioni su questo standard, consulta i [controlli CSPM di Security Hub nella Guida](https://docs.aws.amazon.com/controltower/latest/userguide/security-hub-controls.html) per l'*AWS Control Tower utente*.