As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Práticas recomendadas operacionais para o NERC CIP BCSI
Os pacotes de conformidade fornecem uma estrutura de conformidade de uso geral projetada para permitir que você crie verificações de governança de segurança, operação ou otimização de custos usando regras e ações de remediação gerenciadas ou personalizadas. AWS Config AWS Config Os pacotes de conformidade, como os modelos de amostra, não foram projetados para garantir totalmente a conformidade com um padrão específico de governança ou conformidade. Você é responsável por avaliar se o seu uso dos serviços atende aos requisitos legais e regulamentares aplicáveis.
A seguir, é apresentado um exemplo de mapeamento entre os Padrões de Proteção de Infraestrutura Crítica da North American Electric Reliability Corporation (NERC CIP) para BES Cyber System Information (BCSI), CIP-004-7 e CIP-011-3 e regras gerenciadas. AWS Config Cada regra AWS do Config se aplica a um AWS recurso específico e está relacionada a um ou mais controles NERC CIP aplicáveis ao BCSI. Um controle do NERC CIP pode estar relacionado a várias regras do Config. Consulte a tabela abaixo para conferir mais detalhes e orientações relacionados a esses mapeamentos.
| ID de controle | Descrição do controle | AWS Config Regra | Orientação |
|---|---|---|---|
| CIP-004-7-R6-Parte 6.1 | Cada entidade responsável deve implementar um ou mais programas documentados de gerenciamento de acesso para autorizar, verificar e revogar o acesso provisionado ao BCSI referente aos “Sistemas aplicáveis” identificados na Tabela R6 do CIP-004-7 — Gerenciamento de acesso ao BES Cyber System Information, que incluem coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R6 do CIP-004-7 — Gerenciamento de acesso ao BES Cyber System Information. Para ser considerado acesso ao BCSI no contexto desse requisito, um indivíduo deve ter a capacidade de obter e usar o BCSI. O acesso provisionado deve ser considerado o resultado de ações específicas tomadas para fornecer a um indivíduo os meios de acessar o BCSI (por exemplo, pode incluir chaves físicas ou cartões de acesso, usuários e direitos e privilégios associados, chaves de criptografia). Parte 6.1: antes do provisionamento, autorize (a menos que já esteja autorizado de acordo com a Parte 4.1.) com base na necessidade, conforme determinado pela entidade responsável, exceto nas Circunstâncias Excepcionais do CIP: 6.1.1. Acesso eletrônico provisionado ao BCSI eletrônico | Garanta que o controle de acesso refinado esteja ativado em seus domínios do Amazon OpenSearch Service. O controle de acesso refinado fornece mecanismos de autorização aprimorados para obter acesso menos privilegiado aos domínios da Amazon. OpenSearch Ele permite o controle de acesso baseado em funções ao domínio, bem como segurança em nível de índice, documento e campo, suporte para multilocação de OpenSearch painéis e autenticação básica HTTP para Kibana. OpenSearch | |
| CIP-004-7-R6-Parte 6.1 | Cada entidade responsável deve implementar um ou mais programas documentados de gerenciamento de acesso para autorizar, verificar e revogar o acesso provisionado ao BCSI referente aos “Sistemas aplicáveis” identificados na Tabela R6 do CIP-004-7 — Gerenciamento de acesso ao BES Cyber System Information, que incluem coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R6 do CIP-004-7 — Gerenciamento de acesso ao BES Cyber System Information. Para ser considerado acesso ao BCSI no contexto desse requisito, um indivíduo deve ter a capacidade de obter e usar o BCSI. O acesso provisionado deve ser considerado o resultado de ações específicas tomadas para fornecer a um indivíduo os meios de acessar o BCSI (por exemplo, pode incluir chaves físicas ou cartões de acesso, usuários e direitos e privilégios associados, chaves de criptografia). Parte 6.1: antes do provisionamento, autorize (a menos que já esteja autorizado de acordo com a Parte 4.1.) com base na necessidade, conforme determinado pela entidade responsável, exceto nas Circunstâncias Excepcionais do CIP: 6.1.1. Acesso eletrônico provisionado ao BCSI eletrônico | Ao habilitar o Kerberos para clusters do Amazon EMR, é possível gerenciar e incorporar as permissões e autorizações de acesso com os princípios de privilégio mínimo e separação de deveres. No Kerberos, os serviços e os usuários que precisam se autenticar são conhecidos como entidades principais. As entidades principais existem em um realm Kerberos. No realm, um servidor Kerberos é conhecido como o centro de distribuição de chaves (KDC). Ele fornece um meio para as entidades principais se autenticarem. A autenticação do KDC é feita com a emissão de tíquetes. O KDC mantém um banco de dados das entidades principais no realm, as senhas e outras informações administrativas sobre cada entidade principal. | |
| CIP-004-7-R6-Parte 6.1 | Cada entidade responsável deve implementar um ou mais programas documentados de gerenciamento de acesso para autorizar, verificar e revogar o acesso provisionado ao BCSI referente aos “Sistemas aplicáveis” identificados na Tabela R6 do CIP-004-7 — Gerenciamento de acesso ao BES Cyber System Information, que incluem coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R6 do CIP-004-7 — Gerenciamento de acesso ao BES Cyber System Information. Para ser considerado acesso ao BCSI no contexto desse requisito, um indivíduo deve ter a capacidade de obter e usar o BCSI. O acesso provisionado deve ser considerado o resultado de ações específicas tomadas para fornecer a um indivíduo os meios de acessar o BCSI (por exemplo, pode incluir chaves físicas ou cartões de acesso, usuários e direitos e privilégios associados, chaves de criptografia). Parte 6.1: antes do provisionamento, autorize (a menos que já esteja autorizado de acordo com a Parte 4.1.) com base na necessidade, conforme determinado pela entidade responsável, exceto nas Circunstâncias Excepcionais do CIP: 6.1.1. Acesso eletrônico provisionado ao BCSI eletrônico | AWS O Identity and Access Management (IAM) pode ajudá-lo a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, garantindo que os grupos do IAM tenham pelo menos um usuário. Colocar usuários em grupos com base nas permissões associadas ou na função de trabalho é uma forma de incorporar o privilégio mínimo. | |
| CIP-004-7-R6-Parte 6.1 | Cada entidade responsável deve implementar um ou mais programas documentados de gerenciamento de acesso para autorizar, verificar e revogar o acesso provisionado ao BCSI referente aos “Sistemas aplicáveis” identificados na Tabela R6 do CIP-004-7 — Gerenciamento de acesso ao BES Cyber System Information, que incluem coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R6 do CIP-004-7 — Gerenciamento de acesso ao BES Cyber System Information. Para ser considerado acesso ao BCSI no contexto desse requisito, um indivíduo deve ter a capacidade de obter e usar o BCSI. O acesso provisionado deve ser considerado o resultado de ações específicas tomadas para fornecer a um indivíduo os meios de acessar o BCSI (por exemplo, pode incluir chaves físicas ou cartões de acesso, usuários e direitos e privilégios associados, chaves de criptografia). Parte 6.1: antes do provisionamento, autorize (a menos que já esteja autorizado de acordo com a Parte 4.1.) com base na necessidade, conforme determinado pela entidade responsável, exceto nas Circunstâncias Excepcionais do CIP: 6.1.1. Acesso eletrônico provisionado ao BCSI eletrônico | AWS O Identity and Access Management (IAM) pode ajudá-lo a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham “Efeito”: “Permitir” com “Ação”: “*” sobre “Recurso”: “*”. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres. | |
| CIP-004-7-R6-Parte 6.1 | Cada entidade responsável deve implementar um ou mais programas documentados de gerenciamento de acesso para autorizar, verificar e revogar o acesso provisionado ao BCSI referente aos “Sistemas aplicáveis” identificados na Tabela R6 do CIP-004-7 — Gerenciamento de acesso ao BES Cyber System Information, que incluem coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R6 do CIP-004-7 — Gerenciamento de acesso ao BES Cyber System Information. Para ser considerado acesso ao BCSI no contexto desse requisito, um indivíduo deve ter a capacidade de obter e usar o BCSI. O acesso provisionado deve ser considerado o resultado de ações específicas tomadas para fornecer a um indivíduo os meios de acessar o BCSI (por exemplo, pode incluir chaves físicas ou cartões de acesso, usuários e direitos e privilégios associados, chaves de criptografia). Parte 6.1: antes do provisionamento, autorize (a menos que já esteja autorizado de acordo com a Parte 4.1.) com base na necessidade, conforme determinado pela entidade responsável, exceto nas Circunstâncias Excepcionais do CIP: 6.1.1. Acesso eletrônico provisionado ao BCSI eletrônico | O acesso a sistemas e ativos pode ser controlado verificando se o usuário raiz não tem chaves de acesso anexadas à sua função de AWS Identity and Access Management (IAM). Exclua as chaves de acesso raiz. Em vez disso, crie e use com base em funções Contas da AWS para ajudar a incorporar o princípio da menor funcionalidade. | |
| CIP-004-7-R6-Parte 6.1 | Cada entidade responsável deve implementar um ou mais programas documentados de gerenciamento de acesso para autorizar, verificar e revogar o acesso provisionado ao BCSI referente aos “Sistemas aplicáveis” identificados na Tabela R6 do CIP-004-7 — Gerenciamento de acesso ao BES Cyber System Information, que incluem coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R6 do CIP-004-7 — Gerenciamento de acesso ao BES Cyber System Information. Para ser considerado acesso ao BCSI no contexto desse requisito, um indivíduo deve ter a capacidade de obter e usar o BCSI. O acesso provisionado deve ser considerado o resultado de ações específicas tomadas para fornecer a um indivíduo os meios de acessar o BCSI (por exemplo, pode incluir chaves físicas ou cartões de acesso, usuários e direitos e privilégios associados, chaves de criptografia). Parte 6.1: antes do provisionamento, autorize (a menos que já esteja autorizado de acordo com a Parte 4.1.) com base na necessidade, conforme determinado pela entidade responsável, exceto nas Circunstâncias Excepcionais do CIP: 6.1.1. Acesso eletrônico provisionado ao BCSI eletrônico | AWS O Identity and Access Management (IAM) pode ajudá-lo a restringir permissões e autorizações de acesso, garantindo que os usuários sejam membros de pelo menos um grupo. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres. | |
| CIP-004-7-R6-Parte 6.1 | Cada entidade responsável deve implementar um ou mais programas documentados de gerenciamento de acesso para autorizar, verificar e revogar o acesso provisionado ao BCSI referente aos “Sistemas aplicáveis” identificados na Tabela R6 do CIP-004-7 — Gerenciamento de acesso ao BES Cyber System Information, que incluem coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R6 do CIP-004-7 — Gerenciamento de acesso ao BES Cyber System Information. Para ser considerado acesso ao BCSI no contexto desse requisito, um indivíduo deve ter a capacidade de obter e usar o BCSI. O acesso provisionado deve ser considerado o resultado de ações específicas tomadas para fornecer a um indivíduo os meios de acessar o BCSI (por exemplo, pode incluir chaves físicas ou cartões de acesso, usuários e direitos e privilégios associados, chaves de criptografia). Parte 6.1: antes do provisionamento, autorize (a menos que já esteja autorizado de acordo com a Parte 4.1.) com base na necessidade, conforme determinado pela entidade responsável, exceto nas Circunstâncias Excepcionais do CIP: 6.1.1. Acesso eletrônico provisionado ao BCSI eletrônico | Essa regra garante que as políticas de AWS Identity and Access Management (IAM) sejam anexadas somente a grupos ou funções para controlar o acesso a sistemas e ativos. A atribuição de privilégios por grupo ou perfil ajuda a reduzir a oportunidade de uma identidade receber ou reter privilégios excessivos. | |
| CIP-004-7-R6-Parte 6.1 | Cada entidade responsável deve implementar um ou mais programas documentados de gerenciamento de acesso para autorizar, verificar e revogar o acesso provisionado ao BCSI referente aos “Sistemas aplicáveis” identificados na Tabela R6 do CIP-004-7 — Gerenciamento de acesso ao BES Cyber System Information, que incluem coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R6 do CIP-004-7 — Gerenciamento de acesso ao BES Cyber System Information. Para ser considerado acesso ao BCSI no contexto desse requisito, um indivíduo deve ter a capacidade de obter e usar o BCSI. O acesso provisionado deve ser considerado o resultado de ações específicas tomadas para fornecer a um indivíduo os meios de acessar o BCSI (por exemplo, pode incluir chaves físicas ou cartões de acesso, usuários e direitos e privilégios associados, chaves de criptografia). Parte 6.1: antes do provisionamento, autorize (a menos que já esteja autorizado de acordo com a Parte 4.1.) com base na necessidade, conforme determinado pela entidade responsável, exceto nas Circunstâncias Excepcionais do CIP: 6.1.1. Acesso eletrônico provisionado ao BCSI eletrônico | Gerencie o acesso aos recursos na AWS nuvem permitindo que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| CIP-004-7-R6-Parte 6.1 | Cada entidade responsável deve implementar um ou mais programas documentados de gerenciamento de acesso para autorizar, verificar e revogar o acesso provisionado ao BCSI referente aos “Sistemas aplicáveis” identificados na Tabela R6 do CIP-004-7 — Gerenciamento de acesso ao BES Cyber System Information, que incluem coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R6 do CIP-004-7 — Gerenciamento de acesso ao BES Cyber System Information. Para ser considerado acesso ao BCSI no contexto desse requisito, um indivíduo deve ter a capacidade de obter e usar o BCSI. O acesso provisionado deve ser considerado o resultado de ações específicas tomadas para fornecer a um indivíduo os meios de acessar o BCSI (por exemplo, pode incluir chaves físicas ou cartões de acesso, usuários e direitos e privilégios associados, chaves de criptografia). Parte 6.1: antes do provisionamento, autorize (a menos que já esteja autorizado de acordo com a Parte 4.1.) com base na necessidade, conforme determinado pela entidade responsável, exceto nas Circunstâncias Excepcionais do CIP: 6.1.1. Acesso eletrônico provisionado ao BCSI eletrônico | Gerencie o acesso aos recursos na AWS nuvem permitindo que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| CIP-004-7-R6-Parte 6.1 | Cada entidade responsável deve implementar um ou mais programas documentados de gerenciamento de acesso para autorizar, verificar e revogar o acesso provisionado ao BCSI referente aos “Sistemas aplicáveis” identificados na Tabela R6 do CIP-004-7 — Gerenciamento de acesso ao BES Cyber System Information, que incluem coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R6 do CIP-004-7 — Gerenciamento de acesso ao BES Cyber System Information. Para ser considerado acesso ao BCSI no contexto desse requisito, um indivíduo deve ter a capacidade de obter e usar o BCSI. O acesso provisionado deve ser considerado o resultado de ações específicas tomadas para fornecer a um indivíduo os meios de acessar o BCSI (por exemplo, pode incluir chaves físicas ou cartões de acesso, usuários e direitos e privilégios associados, chaves de criptografia). Parte 6.1: antes do provisionamento, autorize (a menos que já esteja autorizado de acordo com a Parte 4.1.) com base na necessidade, conforme determinado pela entidade responsável, exceto nas Circunstâncias Excepcionais do CIP: 6.1.1. Acesso eletrônico provisionado ao BCSI eletrônico | Gerencie o acesso à AWS nuvem ativando s3_ bucket_policy_grantee_check. Essa regra verifica se o acesso concedido pelo bucket do Amazon S3 é restrito por qualquer um dos AWS principais, usuários federados, entidades principais de serviços, endereços IP ou IDs da Amazon Virtual Private Cloud (Amazon VPC) fornecidos por você. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Gerencie o acesso à AWS nuvem garantindo que as instâncias de replicação do DMS não possam ser acessadas publicamente. As instâncias de replicação do DMS podem conter informações confidenciais, e o controle de acesso é necessário para essas contas. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Gerencie o acesso à AWS nuvem garantindo que os instantâneos do EBS não sejam restauráveis publicamente. Os snapshots de volume do EBS podem conter informações confidenciais, e o controle de acesso é necessário para essas contas. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | AWS O Identity and Access Management (IAM) pode ajudá-lo com permissões e autorizações de acesso verificando as senhas e chaves de acesso do IAM que não são usadas por um período de tempo especificado. Se essas credenciais não utilizadas forem identificadas, você deverá desabilitar e/ou removê-las, pois isso pode violar o princípio de privilégio mínimo. Essa regra exige que você defina um valor como maxCredentialUsage Idade (Config Default: 90). O valor real deve refletir as políticas da organização. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Gerencie o acesso aos recursos na AWS nuvem garantindo que as funções do AWS Lambda não possam ser acessadas publicamente. O acesso público pode causar degradação da disponibilidade de recursos. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Gerencie o acesso aos recursos na AWS nuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Gerencie o acesso aos recursos na AWS nuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Gerencie o acesso aos recursos na AWS nuvem garantindo que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Gerencie o acesso aos recursos na AWS nuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) e restrictPublicBuckets parâmetros (Config Default: True). Os valores reais devem refletir as políticas da organização. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Gerencie o acesso aos recursos na AWS nuvem garantindo que os SageMaker notebooks da Amazon não permitam acesso direto à Internet. Ao impedir o acesso direto à internet, você impede que dados confidenciais sejam acessados por usuários não autorizados. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Garanta que a integridade da rede seja protegida garantindo que os certificados X509 sejam emitidos pelo AWS ACM. Esses certificados devem ser válidos e estar dentro do prazo de validade. Essa regra exige um valor para daysToExpiration (valor das melhores práticas de segurança AWS básicas: 90). O valor real deve refletir as políticas da organização. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Configure seus Elastic Load Balancers (ELB) para descartar cabeçalhos http. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Para ajudar a proteger os dados em trânsito, garanta que o Application Load Balancer redirecione automaticamente as solicitações HTTP não criptografadas para HTTPS. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Para ajudar a proteger os dados em repouso, habilite a criptografia para o cache do estágio do API Gateway. Como dados confidenciais podem ser capturados para o método da API, habilite a criptografia em repouso para ajudar a protegê-los. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Como podem existir dados confidenciais e para ajudar a proteger os dados em repouso, garanta que a criptografia esteja habilitada para suas AWS CloudTrail trilhas. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Para ajudar a proteger dados confidenciais em repouso, garanta que a criptografia esteja habilitada para seus grupos de CloudWatch registros da Amazon. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Habilite a alternância de chaves para que sejam usadas alternadamente quando atingirem o final do período criptográfico. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Habilite a criptografia para as tabelas do Amazon DynamoDB. Como pode haver dados confidenciais em repouso nessas tabelas, habilite a criptografia em repouso para ajudar a protegê-los. Por padrão, as tabelas do DynamoDB são criptografadas com AWS uma chave mestra de cliente (CMK) própria. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Para ajudar a proteger os dados em repouso, habilite a criptografia para os volumes do Amazon Elastic Block Store (Amazon EBS). Como pode haver dados confidenciais em repouso nesses volumes, habilite a criptografia em repouso para ajudar a protegê-los. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | A verificação de imagem do Amazon Elastic Container Repository (ECR) ajuda a identificar vulnerabilidades de software nas imagens do contêiner. Habilitar a verificação de imagens em repositórios do ECR adiciona uma camada de verificação da integridade e segurança das imagens que estão sendo armazenadas. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Habilite a imutabilidade de tags do Elastic Container Repository (ECR) para evitar que as tags de imagem em suas imagens do ECR sejam sobrescritas. Anteriormente, as tags podiam ser substituídas, exigindo metodologias manuais para identificar uma imagem de forma exclusiva. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Habilitar o acesso somente de leitura aos contêineres do Amazon Elastic Container Service (ECS) pode ajudar a aderir à entidade principal de privilégio mínimo. Essa opção pode reduzir os vetores de ataque, pois o sistema de arquivos da instância do contêiner não pode ser modificado, a menos que tenha permissões explícitas de leitura e gravação. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Como pode haver dados confidenciais, e para ajudar a proteger os dados em repouso, habilite a criptografia para o Amazon Elastic File System (EFS). | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Como dados confidenciais podem existir e para ajudar a proteger dados em repouso, assegure-se de que a criptografia esteja habilitada para seus domínios do Amazon OpenSearch OpenSearch Service (Service). | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Certifique-se node-to-node de que a criptografia para o Amazon OpenSearch Service esteja ativada. A ode-to-node criptografia N habilita a criptografia TLS 1.2 para todas as comunicações dentro da Amazon Virtual Private Cloud (Amazon VPC). Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Como pode haver dados confidenciais, e para ajudar a proteger os dados em trânsito, habilite a criptografia para o Elastic Load Balancing. Use o AWS Certificate Manager para gerenciar, provisionar e implantar certificados SSL/TLS públicos e privados com AWS serviços e recursos internos. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Configure os Elastic Load Balancers (ELBs) com receptores SSL ou HTTPS. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Como pode haver dados confidenciais, e para ajudar a proteger os dados em repouso, habilite a criptografia para os volumes do Amazon Elastic Block Store (Amazon EBS). | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Como pode haver dados confidenciais, e para ajudar a proteger os dados em repouso, habilite a criptografia para o Amazon Kinesis Streams. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Para ajudar a proteger os dados em repouso, certifique-se de que as chaves mestras do cliente (CMKs) necessárias não estejam programadas para exclusão no AWS Key Management Service (AWS KMS). Como às vezes a exclusão da chave é necessária, essa regra pode ajudar na verificação de todas as chaves programadas para exclusão, caso alguma delas sido programada de maneira não intencional. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Certifique-se de que o registro de auditoria esteja ativado em seus domínios OpenSearch do Amazon Service. O registro de auditoria permite que você acompanhe a atividade do usuário em seus OpenSearch domínios, incluindo sucessos e falhas de autenticação, solicitações, alterações de índice e consultas de pesquisa recebidas. OpenSearch | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Como dados confidenciais podem existir e para ajudar a proteger dados em repouso, assegure-se de que a criptografia esteja habilitada para seus domínios do Amazon OpenSearch Service. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Como dados confidenciais podem existir e para ajudar a proteger os dados em trânsito, certifique-se de que o HTTPS esteja habilitado para conexões com seus domínios do Amazon OpenSearch Service. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Gerencie o acesso à AWS nuvem garantindo que os domínios do Amazon OpenSearch Service estejam dentro de uma Amazon Virtual Private Cloud (Amazon VPC). Um domínio do Amazon OpenSearch Service em uma Amazon VPC permite a comunicação segura entre a Amazon OpenSearch e outros serviços dentro da Amazon VPC sem a necessidade de um gateway de internet, dispositivo NAT ou conexão VPN. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Certifique-se de que os domínios do Amazon OpenSearch Service tenham registros de erros habilitados e transmitidos para o Amazon CloudWatch Logs para retenção e resposta. Os logs de erros do domínio podem auxiliar nas auditorias de segurança e acesso, além de ajudar a diagnosticar problemas de disponibilidade. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Certifique-se node-to-node de que a criptografia para o Amazon OpenSearch Service esteja ativada. A ode-to-node criptografia N habilita a criptografia TLS 1.2 para todas as comunicações dentro da Amazon Virtual Private Cloud (Amazon VPC). Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Habilite a criptografia para os snapshots do Amazon Relational Database Service (Amazon RDS). Como pode haver dados confidenciais em repouso, habilite a criptografia em repouso para ajudar a protegê-los. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Para ajudar a proteger os dados em repouso, habilite a criptografia para as instâncias do Amazon Relational Database Service (Amazon RDS). Como pode haver dados confidenciais em repouso nas instâncias do Amazon RDS, habilite a criptografia em repouso para ajudar a protegê-los. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Para capturar informações sobre conexões e atividades de usuários no cluster do Amazon Redshift, habilite o registro em log de auditoria. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Para proteger os dados em repouso, habilite a criptografia para os clusters do Amazon Redshift. Implante também as configurações necessárias nos clusters do Amazon Redshift. O registro em log de auditoria deve ser habilitado para fornecer informações sobre conexões e atividades do usuário no banco de dados. Essa regra exige que um valor seja definido para clusterDbEncrypted (Config Default: TRUE) e LoggingEnabled (Config Default: TRUE). Os valores reais devem refletir as políticas da organização. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Os clusters do Amazon Redshift devem exigir criptografia TLS/SSL para se conectar aos clientes SQL. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Para ajudar a proteger os dados em repouso, habilite a criptografia para os buckets do Amazon Simple Storage Service (Amazon S3). Como pode haver dados confidenciais em repouso nos buckets do Amazon S3, habilite a criptografia para ajudar a protegê-los. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Para ajudar a proteger dados em trânsito, os buckets do Amazon Simple Storage Service (Amazon S3) devem exigir solicitações de uso do Secure Socket Layer (SSL). Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Habilite a criptografia para os buckets do Amazon Simple Storage Service (Amazon S3). Como pode haver dados confidenciais em repouso em um bucket do Amazon S3, habilite a criptografia em repouso para ajudar a protegê-los. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | As notificações de eventos do Amazon S3 podem alertar equipes relevantes sobre quaisquer modificações acidentais ou intencionais nos objetos do bucket. Os exemplos de alertas incluem: criação de objeto, remoção de objeto, restauração de objeto, objetos perdidos e replicados. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Configure as políticas de ciclo de vida do Amazon S3 para definir ações que você deseja que o Amazon S3 realize durante o ciclo de vida de um objeto (por exemplo, fazer a transição de objetos para outra classe de armazenamento, arquivá-los ou excluí-los após um período especificado). | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Para ajudar a proteger os dados em repouso, garanta que a criptografia com o AWS Key Management Service (AWS KMS) esteja habilitada para seu SageMaker endpoint. Como dados confidenciais podem existir em repouso no SageMaker endpoint, ative a criptografia em repouso para ajudar a proteger esses dados. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Para ajudar a proteger os dados em repouso, garanta que a criptografia com o AWS Key Management Service (AWS KMS) esteja habilitada para seu SageMaker notebook. Como dados confidenciais podem existir em repouso no SageMaker notebook, ative a criptografia em repouso para ajudar a proteger esses dados. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Para ajudar a proteger dados em repouso, garanta que seus tópicos do Amazon Simple Notification Service (Amazon SNS) exijam criptografia AWS usando o Key Management Service AWS (KMS). Como pode haver dados confidenciais em repouso em mensagens publicadas, habilite a criptografia em repouso para ajudar a protegê-los. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Como os nomes de usuário padrão são de conhecimento público, a alteração dos nomes de usuário padrão pode ajudar a reduzir a superfície de ataque de seu(s) cluster(s) de banco de dados do Amazon Relational Database Service (Amazon RDS). | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Como os nomes de usuário padrão são de conhecimento público, a alteração dos nomes de usuário padrão pode ajudar a reduzir a superfície de ataque de sua(s) instância(s) de banco de dados do Amazon Relational Database Service (Amazon RDS). | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Como os nomes de usuário padrão são de conhecimento público, a alteração dos nomes de usuário padrão pode ajudar a reduzir a superfície de ataque de seu(s) cluster(s) do Amazon Redshift. | |
| CIP-011-3-R1-Parte 1.2 | Cada entidade responsável deve implementar um ou mais programas de proteção de informações documentadas que incluam coletivamente cada uma das partes dos requisitos aplicáveis na Tabela R1 da CIP-011-3 – Proteção de informações. Parte 1.2: método(s) para proteger e lidar com segurança com o BCSI para mitigar os riscos de comprometer a confidencialidade. | Essa regra verifica se as listas de controle de acesso (ACLs) são usadas para controle de acesso nos buckets do Amazon S3. As ACLs são mecanismos legados de controle de acesso para buckets do Amazon S3 AWS anteriores ao Identity and Access Management (IAM). Em vez de ACLs, é uma prática recomendada usar políticas do IAM ou políticas de bucket do S3 para gerenciar mais facilmente o acesso aos buckets do S3. |
Modelo
O modelo está disponível em GitHub: Melhores práticas operacionais para NERC CIP
