As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Práticas recomendadas operacionais para o NERC CIP BCSI
Os pacotes de conformidade fornecem um framework de conformidade de uso geral desenvolvido para permitir que você crie verificações de governança operacional, de segurança ou de otimização de custos usando regras gerenciadas ou personalizadas do AWS Config e ações de correção do AWS Config. Os pacotes de conformidade, como os modelos de amostra, não foram projetados para garantir totalmente a conformidade com um padrão específico de governança ou conformidade. Você é responsável por avaliar se o seu uso dos serviços atende aos requisitos legais e regulamentares aplicáveis.
Veja abaixo um exemplo de mapeamento entre os padrões do North American Electric Reliability Corporation Critical Infrastructure Protection (NERC CIP) para BES Cyber System Information (BCSI), CIP-004-7 e CIP-011-3, e as regras gerenciadas do AWS Config. Cada regra do AWS Config se aplica a um recurso específico da AWS e está relacionada a um ou mais controles do NERC CIP aplicáveis ao BCSI. Um controle do NERC CIP pode estar relacionado a várias regras do Config. Consulte a tabela abaixo para conferir mais detalhes e orientações relacionados a esses mapeamentos.
| ID de controle | Descrição do controle | Regra do AWS Config | Orientação |
|---|---|---|---|
| CIP-004-7-R6-Parte 6.1 | Cada entidade responsável deve implementar um ou mais programas documentados de gerenciamento de acesso para autorizar, verificar e revogar o acesso provisionado ao BCSI referente aos “Sistemas aplicáveis” identificados na Tabela R6 do CIP-004-7 — Gerenciamento de acesso ao BES Cyber System Information, que incluem coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R6 do CIP-004-7 — Gerenciamento de acesso ao BES Cyber System Information. Para ser considerado acesso ao BCSI no contexto desse requisito, um indivíduo deve ter a capacidade de obter e usar o BCSI. O acesso provisionado deve ser considerado o resultado de ações específicas tomadas para fornecer a um indivíduo os meios para acessar o BCSI (por exemplo, pode incluir chaves físicas ou cartões de acesso, usuários e os direitos e privilégios associados, chaves de criptografia). Parte 6.1: antes do provisionamento, autorize (a menos que já esteja autorizado de acordo com a Parte 4.1.) com base na necessidade, conforme determinado pela entidade responsável, exceto nas Circunstâncias Excepcionais do CIP: 6.1.1. Acesso eletrônico provisionado ao BCSI eletrônico | Habilite o controle de acesso detalhado nos domínios do Amazon OpenSearch Service. O controle de acesso detalhado fornece mecanismos de autorização aprimorados para obter acesso de privilégio mínimo aos domínios do Amazon OpenSearch Service. Ele permite controle de acesso ao domínio baseado em perfis, bem como segurança no nível do índice, documento e campo, suporte para multilocação de painéis do OpenSearch Service e autenticação básica HTTP para OpenSearch Service e Kibana. | |
| CIP-004-7-R6-Parte 6.1 | Cada entidade responsável deve implementar um ou mais programas documentados de gerenciamento de acesso para autorizar, verificar e revogar o acesso provisionado ao BCSI referente aos “Sistemas aplicáveis” identificados na Tabela R6 do CIP-004-7 — Gerenciamento de acesso ao BES Cyber System Information, que incluem coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R6 do CIP-004-7 — Gerenciamento de acesso ao BES Cyber System Information. Para ser considerado acesso ao BCSI no contexto desse requisito, um indivíduo deve ter a capacidade de obter e usar o BCSI. O acesso provisionado deve ser considerado o resultado de ações específicas tomadas para fornecer a um indivíduo os meios para acessar o BCSI (por exemplo, pode incluir chaves físicas ou cartões de acesso, usuários e os direitos e privilégios associados, chaves de criptografia). Parte 6.1: antes do provisionamento, autorize (a menos que já esteja autorizado de acordo com a Parte 4.1.) com base na necessidade, conforme determinado pela entidade responsável, exceto nas Circunstâncias Excepcionais do CIP: 6.1.1. Acesso eletrônico provisionado ao BCSI eletrônico | Ao habilitar o Kerberos para clusters do Amazon EMR, é possível gerenciar e incorporar as permissões e autorizações de acesso com os princípios de privilégio mínimo e separação de deveres. No Kerberos, os serviços e os usuários que precisam se autenticar são conhecidos como entidades principais. As entidades principais existem em um realm Kerberos. No realm, um servidor Kerberos é conhecido como o centro de distribuição de chaves (KDC). Ele fornece um meio para as entidades principais se autenticarem. A autenticação do KDC é feita com a emissão de tíquetes. O KDC mantém um banco de dados das entidades principais no realm, as senhas e outras informações administrativas sobre cada entidade principal. | |
| CIP-004-7-R6-Parte 6.1 | Cada entidade responsável deve implementar um ou mais programas documentados de gerenciamento de acesso para autorizar, verificar e revogar o acesso provisionado ao BCSI referente aos “Sistemas aplicáveis” identificados na Tabela R6 do CIP-004-7 — Gerenciamento de acesso ao BES Cyber System Information, que incluem coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R6 do CIP-004-7 — Gerenciamento de acesso ao BES Cyber System Information. Para ser considerado acesso ao BCSI no contexto desse requisito, um indivíduo deve ter a capacidade de obter e usar o BCSI. O acesso provisionado deve ser considerado o resultado de ações específicas tomadas para fornecer a um indivíduo os meios para acessar o BCSI (por exemplo, pode incluir chaves físicas ou cartões de acesso, usuários e os direitos e privilégios associados, chaves de criptografia). Parte 6.1: antes do provisionamento, autorize (a menos que já esteja autorizado de acordo com a Parte 4.1.) com base na necessidade, conforme determinado pela entidade responsável, exceto nas Circunstâncias Excepcionais do CIP: 6.1.1. Acesso eletrônico provisionado ao BCSI eletrônico | O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, garantindo que os grupos do IAM tenham pelo menos um usuário. Colocar usuários em grupos com base nas permissões associadas ou na função de trabalho é uma forma de incorporar o privilégio mínimo. | |
| CIP-004-7-R6-Parte 6.1 | Cada entidade responsável deve implementar um ou mais programas documentados de gerenciamento de acesso para autorizar, verificar e revogar o acesso provisionado ao BCSI referente aos “Sistemas aplicáveis” identificados na Tabela R6 do CIP-004-7 — Gerenciamento de acesso ao BES Cyber System Information, que incluem coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R6 do CIP-004-7 — Gerenciamento de acesso ao BES Cyber System Information. Para ser considerado acesso ao BCSI no contexto desse requisito, um indivíduo deve ter a capacidade de obter e usar o BCSI. O acesso provisionado deve ser considerado o resultado de ações específicas tomadas para fornecer a um indivíduo os meios para acessar o BCSI (por exemplo, pode incluir chaves físicas ou cartões de acesso, usuários e os direitos e privilégios associados, chaves de criptografia). Parte 6.1: antes do provisionamento, autorize (a menos que já esteja autorizado de acordo com a Parte 4.1.) com base na necessidade, conforme determinado pela entidade responsável, exceto nas Circunstâncias Excepcionais do CIP: 6.1.1. Acesso eletrônico provisionado ao BCSI eletrônico | O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham "Effect": "Allow" com "Action": "*" por "Resource": "*". Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres. | |
| CIP-004-7-R6-Parte 6.1 | Cada entidade responsável deve implementar um ou mais programas documentados de gerenciamento de acesso para autorizar, verificar e revogar o acesso provisionado ao BCSI referente aos “Sistemas aplicáveis” identificados na Tabela R6 do CIP-004-7 — Gerenciamento de acesso ao BES Cyber System Information, que incluem coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R6 do CIP-004-7 — Gerenciamento de acesso ao BES Cyber System Information. Para ser considerado acesso ao BCSI no contexto desse requisito, um indivíduo deve ter a capacidade de obter e usar o BCSI. O acesso provisionado deve ser considerado o resultado de ações específicas tomadas para fornecer a um indivíduo os meios para acessar o BCSI (por exemplo, pode incluir chaves físicas ou cartões de acesso, usuários e os direitos e privilégios associados, chaves de criptografia). Parte 6.1: antes do provisionamento, autorize (a menos que já esteja autorizado de acordo com a Parte 4.1.) com base na necessidade, conforme determinado pela entidade responsável, exceto nas Circunstâncias Excepcionais do CIP: 6.1.1. Acesso eletrônico provisionado ao BCSI eletrônico | O acesso a sistemas e ativos pode ser controlado verificando se o usuário raiz não tem chaves de acesso anexadas ao seu perfil do AWS Identity and Access Management (IAM). Exclua as chaves de acesso raiz. Em vez disso, crie e use Contas da AWS baseadas em perfis para ajudar a incorporar o princípio da funcionalidade mínima. | |
| CIP-004-7-R6-Parte 6.1 | Cada entidade responsável deve implementar um ou mais programas documentados de gerenciamento de acesso para autorizar, verificar e revogar o acesso provisionado ao BCSI referente aos “Sistemas aplicáveis” identificados na Tabela R6 do CIP-004-7 — Gerenciamento de acesso ao BES Cyber System Information, que incluem coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R6 do CIP-004-7 — Gerenciamento de acesso ao BES Cyber System Information. Para ser considerado acesso ao BCSI no contexto desse requisito, um indivíduo deve ter a capacidade de obter e usar o BCSI. O acesso provisionado deve ser considerado o resultado de ações específicas tomadas para fornecer a um indivíduo os meios para acessar o BCSI (por exemplo, pode incluir chaves físicas ou cartões de acesso, usuários e os direitos e privilégios associados, chaves de criptografia). Parte 6.1: antes do provisionamento, autorize (a menos que já esteja autorizado de acordo com a Parte 4.1.) com base na necessidade, conforme determinado pela entidade responsável, exceto nas Circunstâncias Excepcionais do CIP: 6.1.1. Acesso eletrônico provisionado ao BCSI eletrônico | O AWS Identity and Access Management (IAM) pode ajudar a restringir permissões e autorizações de acesso garantindo que os usuários sejam membros de pelo menos um grupo. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres. | |
| CIP-004-7-R6-Parte 6.1 | Cada entidade responsável deve implementar um ou mais programas documentados de gerenciamento de acesso para autorizar, verificar e revogar o acesso provisionado ao BCSI referente aos “Sistemas aplicáveis” identificados na Tabela R6 do CIP-004-7 — Gerenciamento de acesso ao BES Cyber System Information, que incluem coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R6 do CIP-004-7 — Gerenciamento de acesso ao BES Cyber System Information. Para ser considerado acesso ao BCSI no contexto desse requisito, um indivíduo deve ter a capacidade de obter e usar o BCSI. O acesso provisionado deve ser considerado o resultado de ações específicas tomadas para fornecer a um indivíduo os meios para acessar o BCSI (por exemplo, pode incluir chaves físicas ou cartões de acesso, usuários e os direitos e privilégios associados, chaves de criptografia). Parte 6.1: antes do provisionamento, autorize (a menos que já esteja autorizado de acordo com a Parte 4.1.) com base na necessidade, conforme determinado pela entidade responsável, exceto nas Circunstâncias Excepcionais do CIP: 6.1.1. Acesso eletrônico provisionado ao BCSI eletrônico | Essa regra garante que as políticas do AWS Identity and Access Management (IAM) sejam anexadas apenas a grupos ou perfis para controlar o acesso a sistemas e ativos. A atribuição de privilégios por grupo ou perfil ajuda a reduzir a oportunidade de uma identidade receber ou reter privilégios excessivos. | |
| CIP-004-7-R6-Parte 6.1 | Cada entidade responsável deve implementar um ou mais programas documentados de gerenciamento de acesso para autorizar, verificar e revogar o acesso provisionado ao BCSI referente aos “Sistemas aplicáveis” identificados na Tabela R6 do CIP-004-7 — Gerenciamento de acesso ao BES Cyber System Information, que incluem coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R6 do CIP-004-7 — Gerenciamento de acesso ao BES Cyber System Information. Para ser considerado acesso ao BCSI no contexto desse requisito, um indivíduo deve ter a capacidade de obter e usar o BCSI. O acesso provisionado deve ser considerado o resultado de ações específicas tomadas para fornecer a um indivíduo os meios para acessar o BCSI (por exemplo, pode incluir chaves físicas ou cartões de acesso, usuários e os direitos e privilégios associados, chaves de criptografia). Parte 6.1: antes do provisionamento, autorize (a menos que já esteja autorizado de acordo com a Parte 4.1.) com base na necessidade, conforme determinado pela entidade responsável, exceto nas Circunstâncias Excepcionais do CIP: 6.1.1. Acesso eletrônico provisionado ao BCSI eletrônico | Para gerenciar o acesso a recursos na Nuvem AWS, permita que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| CIP-004-7-R6-Parte 6.1 | Cada entidade responsável deve implementar um ou mais programas documentados de gerenciamento de acesso para autorizar, verificar e revogar o acesso provisionado ao BCSI referente aos “Sistemas aplicáveis” identificados na Tabela R6 do CIP-004-7 — Gerenciamento de acesso ao BES Cyber System Information, que incluem coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R6 do CIP-004-7 — Gerenciamento de acesso ao BES Cyber System Information. Para ser considerado acesso ao BCSI no contexto desse requisito, um indivíduo deve ter a capacidade de obter e usar o BCSI. O acesso provisionado deve ser considerado o resultado de ações específicas tomadas para fornecer a um indivíduo os meios para acessar o BCSI (por exemplo, pode incluir chaves físicas ou cartões de acesso, usuários e os direitos e privilégios associados, chaves de criptografia). Parte 6.1: antes do provisionamento, autorize (a menos que já esteja autorizado de acordo com a Parte 4.1.) com base na necessidade, conforme determinado pela entidade responsável, exceto nas Circunstâncias Excepcionais do CIP: 6.1.1. Acesso eletrônico provisionado ao BCSI eletrônico | Para gerenciar o acesso a recursos na Nuvem AWS, permita que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| CIP-004-7-R6-Parte 6.1 | Cada entidade responsável deve implementar um ou mais programas documentados de gerenciamento de acesso para autorizar, verificar e revogar o acesso provisionado ao BCSI referente aos “Sistemas aplicáveis” identificados na Tabela R6 do CIP-004-7 — Gerenciamento de acesso ao BES Cyber System Information, que incluem coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R6 do CIP-004-7 — Gerenciamento de acesso ao BES Cyber System Information. Para ser considerado acesso ao BCSI no contexto desse requisito, um indivíduo deve ter a capacidade de obter e usar o BCSI. O acesso provisionado deve ser considerado o resultado de ações específicas tomadas para fornecer a um indivíduo os meios para acessar o BCSI (por exemplo, pode incluir chaves físicas ou cartões de acesso, usuários e os direitos e privilégios associados, chaves de criptografia). Parte 6.1: antes do provisionamento, autorize (a menos que já esteja autorizado de acordo com a Parte 4.1.) com base na necessidade, conforme determinado pela entidade responsável, exceto nas Circunstâncias Excepcionais do CIP: 6.1.1. Acesso eletrônico provisionado ao BCSI eletrônico | Para gerenciar o acesso à Nuvem AWS, habilite o s3_ bucket_policy_grantee_check. Essa regra verifica se o acesso concedido pelo bucket do Amazon S3 foi restrito por qualquer uma das entidades principais da AWS, usuários federados, entidades principais de serviço, endereços IP ou IDs do Amazon Virtual Private Cloud (Amazon VPC) fornecidos por você. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Para gerenciar o acesso à Nuvem AWS, garanta que as instâncias de replicação do DMS não possam ser acessadas publicamente. As instâncias de replicação do DMS podem conter informações confidenciais, e o controle de acesso é necessário para essas contas. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Para gerenciar o acesso à Nuvem AWS, garanta que os snapshots do EBS não sejam restauráveis publicamente. Os snapshots de volume do EBS podem conter informações confidenciais, e o controle de acesso é necessário para essas contas. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | O AWS Identity and Access Management (IAM) pode ajudar com permissões e autorizações de acesso verificando as senhas e chaves de acesso do IAM que não são usadas por um período especificado. Se essas credenciais não utilizadas forem identificadas, você deverá desabilitar e/ou removê-las, pois isso pode violar o princípio de privilégio mínimo. Essa regra exige que você defina um valor para maxCredentialUsageAge (padrão do Config: 90). O valor real deve refletir as políticas da organização. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as funções do AWS Lambda não possam ser acessadas publicamente. O acesso público pode causar degradação da disponibilidade de recursos. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Para gerenciar o acesso a recursos na Nuvem AWS, garanta que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Para gerenciar o acesso a recursos na Nuvem AWS, os buckets do Amazon Simple Storage Service (Amazon S3) não podem ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente os parâmetros ignorePublicAcls (padrão do Config: true), blockPublicPolicy (padrão do Config: true), blockPublicAcls (padrão do Config: true) e restrictPublicBuckets (padrão do Config: true). Os valores reais devem refletir as políticas da organização. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Para gerenciar o acesso a recursos na AWS nuvem, garanta que os cadernos do Amazon SageMaker não permitam acesso direto à internet. Ao impedir o acesso direto à internet, você impede que dados confidenciais sejam acessados por usuários não autorizados. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Para proteger a integridade da rede, garanta que os certificados X509 sejam emitidos pelo AWS ACM. Esses certificados devem ser válidos e estar dentro do prazo de validade. Essa regra exige um valor para daysToExpiration (valor do Práticas Recomendadas de Segurança Básica da AWS: 90). O valor real deve refletir as políticas da organização. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Configure seus Elastic Load Balancers (ELB) para descartar cabeçalhos http. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Para ajudar a proteger os dados em trânsito, garanta que o Application Load Balancer redirecione automaticamente as solicitações HTTP não criptografadas para HTTPS. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Para ajudar a proteger os dados em repouso, habilite a criptografia para o cache do estágio do API Gateway. Como dados confidenciais podem ser capturados para o método da API, habilite a criptografia em repouso para ajudar a protegê-los. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Como pode haver dados confidenciais, e para ajudar a proteger os dados em repouso, habilite a criptografia para as trilhas do AWS CloudTrail. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Para ajudar a proteger dados confidenciais em repouso, habilite a criptografia para os grupos do Amazon CloudWatch Logs. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Habilite a alternância de chaves para que sejam usadas alternadamente quando atingirem o final do período criptográfico. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Habilite a criptografia para as tabelas do Amazon DynamoDB. Como pode haver dados confidenciais em repouso nessas tabelas, habilite a criptografia em repouso para ajudar a protegê-los. Por padrão, as tabelas do DynamoDB são criptografadas com uma chave mestra de cliente (CMK) pertencente à AWS. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Para ajudar a proteger os dados em repouso, habilite a criptografia para os volumes do Amazon Elastic Block Store (Amazon EBS). Como pode haver dados confidenciais em repouso nesses volumes, habilite a criptografia em repouso para ajudar a protegê-los. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | A verificação de imagem do Amazon Elastic Container Repository (ECR) ajuda a identificar vulnerabilidades de software nas imagens do contêiner. Habilitar a verificação de imagens em repositórios do ECR adiciona uma camada de verificação da integridade e segurança das imagens que estão sendo armazenadas. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Habilite a imutabilidade de tags do Elastic Container Repository (ECR) para evitar que as tags de imagem em suas imagens do ECR sejam sobrescritas. Anteriormente, as tags podiam ser substituídas, exigindo metodologias manuais para identificar uma imagem de forma exclusiva. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Habilitar o acesso somente de leitura aos contêineres do Amazon Elastic Container Service (ECS) pode ajudar a aderir à entidade principal de privilégio mínimo. Essa opção pode reduzir os vetores de ataque, pois o sistema de arquivos da instância do contêiner não pode ser modificado, a menos que tenha permissões explícitas de leitura e gravação. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Como pode haver dados confidenciais, e para ajudar a proteger os dados em repouso, habilite a criptografia para o Amazon Elastic File System (EFS). | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Como pode haver dados confidenciais, e para ajudar a proteger os dados em repouso, habilite a criptografia para os domínios do Amazon OpenSearch Service (OpenSearch Service). | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Habilite a criptografia de nó a nó para o Amazon OpenSearch Service. A criptografia de nó a nó permite a criptografia TLS 1.2 para todas as comunicações no Amazon Virtual Private Cloud (Amazon VPC). Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Como pode haver dados confidenciais, e para ajudar a proteger os dados em trânsito, habilite a criptografia para o Elastic Load Balancing. Use o AWS Certificate Manager para gerenciar, provisionar e implantar certificados SSL/TLS públicos e privados com recursos internos e serviços da AWS. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Configure os Elastic Load Balancers (ELBs) com receptores SSL ou HTTPS. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Como pode haver dados confidenciais, e para ajudar a proteger os dados em repouso, habilite a criptografia para os volumes do Amazon Elastic Block Store (Amazon EBS). | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Como pode haver dados confidenciais, e para ajudar a proteger os dados em repouso, habilite a criptografia para o Amazon Kinesis Streams. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Para ajudar a proteger dados em repouso, as chaves mestras do cliente (CMKs) necessárias não devem estar programadas para exclusão no AWS Key Management Service (AWS KMS). Como às vezes a exclusão da chave é necessária, essa regra pode ajudar na verificação de todas as chaves programadas para exclusão, caso alguma delas sido programada de maneira não intencional. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Habilite o registro em log de auditoria nos domínios do Amazon OpenSearch Service. O registro em log de auditoria permite rastrear a atividade do usuário nos seus domínios do OpenSearch, incluindo falhas e êxitos na autenticação, solicitações para OpenSearch, alterações em índices e consultas de pesquisa recebidas. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Como pode haver dados confidenciais, e para ajudar a proteger os dados em repouso, habilite a criptografia para os domínios do Amazon OpenSearch Service. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Como pode haver dados confidenciais, e para ajudar a proteger os dados em trânsito, habilite o HTTPS para as conexões com os domínios do Amazon OpenSearch Service. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Para gerenciar o acesso à Nuvem AWS, garanta que os domínios do Amazon OpenSearch Service estejam no Amazon Virtual Private Cloud (Amazon VPC). Colocar um domínio do Amazon OpenSearch Service em um Amazon VPC permite uma comunicação segura entre o Amazon OpenSearch e os outros serviços no Amazon VPC, sem que seja necessário usar um gateway da Internet, dispositivo NAT ou conexão VPN. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Habilite os logs de erros dos domínios do Amazon OpenSearch Service e transmita-os ao Amazon CloudWatch Logs para retenção e resposta. Os logs de erros do domínio podem auxiliar nas auditorias de segurança e acesso, além de ajudar a diagnosticar problemas de disponibilidade. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Habilite a criptografia de nó a nó para o Amazon OpenSearch Service. A criptografia de nó a nó permite a criptografia TLS 1.2 para todas as comunicações no Amazon Virtual Private Cloud (Amazon VPC). Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Habilite a criptografia para os snapshots do Amazon Relational Database Service (Amazon RDS). Como pode haver dados confidenciais em repouso, habilite a criptografia em repouso para ajudar a protegê-los. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Para ajudar a proteger os dados em repouso, habilite a criptografia para as instâncias do Amazon Relational Database Service (Amazon RDS). Como pode haver dados confidenciais em repouso nas instâncias do Amazon RDS, habilite a criptografia em repouso para ajudar a protegê-los. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Para capturar informações sobre conexões e atividades de usuários no cluster do Amazon Redshift, habilite o registro em log de auditoria. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Para proteger os dados em repouso, habilite a criptografia para os clusters do Amazon Redshift. Implante também as configurações necessárias nos clusters do Amazon Redshift. O registro em log de auditoria deve ser habilitado para fornecer informações sobre conexões e atividades do usuário no banco de dados. Essa regra exige que um valor seja definido para clusterDbEncrypted (padrão do Config: VERDADEIRO) e loggingEnabled (padrão do Config: VERDADEIRO). Os valores reais devem refletir as políticas da organização. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Os clusters do Amazon Redshift devem exigir criptografia TLS/SSL para se conectar aos clientes SQL. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Para ajudar a proteger os dados em repouso, habilite a criptografia para os buckets do Amazon Simple Storage Service (Amazon S3). Como pode haver dados confidenciais em repouso nos buckets do Amazon S3, habilite a criptografia para ajudar a protegê-los. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Para ajudar a proteger dados em trânsito, os buckets do Amazon Simple Storage Service (Amazon S3) devem exigir solicitações de uso do Secure Socket Layer (SSL). Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Habilite a criptografia para os buckets do Amazon Simple Storage Service (Amazon S3). Como pode haver dados confidenciais em repouso em um bucket do Amazon S3, habilite a criptografia em repouso para ajudar a protegê-los. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | As notificações de eventos do Amazon S3 podem alertar equipes relevantes sobre quaisquer modificações acidentais ou intencionais nos objetos do bucket. Os exemplos de alertas incluem: criação de objeto, remoção de objeto, restauração de objeto, objetos perdidos e replicados. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Configure as políticas de ciclo de vida do Amazon S3 para definir ações que você deseja que o Amazon S3 realize durante o ciclo de vida de um objeto (por exemplo, fazer a transição de objetos para outra classe de armazenamento, arquivá-los ou excluí-los após um período especificado). | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Para ajudar a proteger os dados em repouso, habilite a criptografia com o AWS Key Management Service (AWS KMS) para o endpoint do SageMaker. Como pode haver dados confidenciais em repouso no endpoint do SageMaker, habilite a criptografia em repouso para ajudar a protegê-los. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Para ajudar a proteger os dados em repouso, habilite a criptografia com o AWS Key Management Service (AWS KMS) para o caderno do SageMaker. Como pode haver dados confidenciais em repouso no cadernodo SageMaker, habilite a criptografia em repouso para ajudar a protegê-los. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Para ajudar a proteger os dados em repouso, use o AWS Key Management Service (AWS KMS) para garantir que os tópicos do Amazon Simple Notification Service (Amazon SNS) exijam criptografia. Como pode haver dados confidenciais em repouso em mensagens publicadas, habilite a criptografia em repouso para ajudar a protegê-los. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Como os nomes de usuário padrão são de conhecimento público, a alteração dos nomes de usuário padrão pode ajudar a reduzir a superfície de ataque de seu(s) cluster(s) de banco de dados do Amazon Relational Database Service (Amazon RDS). | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Como os nomes de usuário padrão são de conhecimento público, a alteração dos nomes de usuário padrão pode ajudar a reduzir a superfície de ataque de sua(s) instância(s) de banco de dados do Amazon Relational Database Service (Amazon RDS). | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Como os nomes de usuário padrão são de conhecimento público, a alteração dos nomes de usuário padrão pode ajudar a reduzir a superfície de ataque de seu(s) cluster(s) do Amazon Redshift. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Essa regra verifica se as listas de controle de acesso (ACLs) são usadas para controle de acesso nos buckets do Amazon S3. As ACLs são mecanismos de controle de acesso herdados para buckets do Amazon S3 que são anteriores ao AWS Identity and Access Management (IAM). Em vez de ACLs, é uma prática recomendada usar políticas do IAM ou políticas de bucket do S3 para gerenciar mais facilmente o acesso aos buckets do S3. |
Modelo
O modelo está disponível no GitHub: Operational Best Practices for NERC CIP BCSI
