Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Riferimento ai controlli Security Hub Controlli Security Hub
Questo riferimento ai controlli fornisce un elenco di AWS Security Hub controlli disponibili con collegamenti a ulteriori informazioni su ciascun controllo. La tabella riassuntiva mostra i controlli in ordine alfabetico in base all'ID del controllo. Qui sono inclusi solo i controlli in uso attivo da Security Hub. I controlli ritirati sono esclusi da questo elenco. La tabella fornisce le informazioni per ciascun controllo:
-
ID del controllo di sicurezza: questo ID si applica a tutti gli standard Servizio AWS e indica la risorsa e a cui si riferisce il controllo. La console Security Hub mostra il controllo di sicurezza IDs, indipendentemente dal fatto che i risultati del controllo consolidato siano attivati o disattivati nel tuo account. Tuttavia, i risultati del Security Hub fanno riferimento al controllo di sicurezza IDs solo se i risultati del controllo consolidato sono attivati nel tuo account. Se i risultati del controllo consolidato sono disattivati nel tuo account, alcuni controlli IDs variano in base allo standard dei risultati di controllo. Per una mappatura del controllo specifico dello standard IDs al controllo della sicurezza, consulta. IDs In che modo il consolidamento influisce sul controllo e sui titoli IDs
Se desideri configurare le automazioni per i controlli di sicurezza, ti consigliamo di filtrare in base all'ID del controllo anziché al titolo o alla descrizione. Sebbene Security Hub possa occasionalmente aggiornare i titoli o le descrizioni dei controlli, il controllo IDs rimane lo stesso.
Il controllo IDs può saltare i numeri. Si tratta di segnaposti per controlli futuri.
-
Standard applicabili: indica a quali standard si applica un controllo. Scegli un controllo per esaminare i requisiti specifici dei framework di conformità di terze parti.
-
Titolo del controllo di sicurezza: questo titolo si applica a tutti gli standard. La console Security Hub mostra i titoli dei controlli di sicurezza, indipendentemente dal fatto che i risultati del controllo consolidato siano attivati o disattivati nel tuo account. Tuttavia, i risultati del Security Hub fanno riferimento ai titoli dei controlli di sicurezza solo se nel tuo account è attivato il controllo consolidato. Se i risultati di controllo consolidati sono disattivati nel tuo account, alcuni titoli di controllo variano in base allo standard dei risultati di controllo. Per una mappatura del controllo specifico dello standard IDs al controllo di sicurezza, consulta. IDs In che modo il consolidamento influisce sul controllo e sui titoli IDs
-
Severità: la severità di un controllo ne identifica l'importanza dal punto di vista della sicurezza. Per informazioni su come Security Hub determina la gravità del controllo, vedereLivello di gravità dei risultati del controllo.
-
Tipo di pianificazione: indica quando viene valutato il controllo. Per ulteriori informazioni, consulta Pianificazione dell'esecuzione dei controlli di sicurezza.
-
Supporta parametri personalizzati: indica se il controllo supporta valori personalizzati per uno o più parametri. Scegliete un controllo per esaminare i dettagli dei parametri. Per ulteriori informazioni, consulta Comprensione dei parametri di controllo in Security Hub.
Scegli un controllo per esaminare i dettagli aggiuntivi. I controlli sono elencati in ordine alfabetico in base all'ID del controllo di sicurezza.
| Security Control ID | Titolo di controllo di sicurezza | Standard applicabili | Gravità | Supporta parametri personalizzati | Type Schedule |
|---|---|---|---|---|---|
| Account.1 | Le informazioni di contatto relative alla sicurezza devono essere fornite per un Account AWS | CIS AWS Foundations Benchmark v3.0.0, AWS Foundational Security Best Practices v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | Periodic (Periodico) | |
| Conto.2 | Account AWS dovrebbe far parte di un'organizzazione AWS Organizations | NIST SP 800-53 Rev. 5 | HIGH (ELEVATO) | |
Periodic (Periodico) |
| ACM.1 | I certificati importati ed emessi da ACM devono essere rinnovati dopo un determinato periodo di tempo | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MEDIO | |
Modifica attivata e periodica |
| ACM.2 | I certificati RSA gestiti da ACM devono utilizzare una lunghezza di chiave di almeno 2.048 bit | AWS Best practice di sicurezza di base v1.0.0, PCI DSS v4.0.1 | HIGH (ELEVATO) | |
Attivate dalle modifiche |
| ACM.3 | I certificati ACM devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| Amplifica.1 | Le app Amplify devono essere taggate | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| Amplifica.2 | I rami Amplify devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| APIGateway1. | API Gateway REST e la registrazione dell'esecuzione delle WebSocket API devono essere abilitati | AWS Best Practices di sicurezza v1.0.0, Service Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
Attivate dalle modifiche |
| APIGateway2. | Le fasi dell'API REST di API Gateway devono essere configurate per utilizzare i certificati SSL per l'autenticazione del backend. | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower, NIST SP 800-171 Rev. 2 | MEDIO | |
Attivate dalle modifiche |
| APIGateway3. | Le fasi REST API di API Gateway devono avere AWS X-Ray la traccia abilitata | AWS Best Practices di sicurezza v1.0.0, Service Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | BASSO | |
Attivate dalle modifiche |
| APIGateway4. | API Gateway deve essere associato a un ACL Web WAF | AWS Best Practices di sicurezza v1.0.0, Service Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
Attivate dalle modifiche |
| APIGateway5. | I dati della cache dell'API REST di API Gateway devono essere crittografati quando sono inattivi | AWS Best Practices di sicurezza v1.0.0, Service Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
Attivate dalle modifiche |
| APIGateway8. | Le rotte API Gateway devono specificare un tipo di autorizzazione | AWS Best Practices di sicurezza v1.0.0, Service Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
Periodic (Periodico) |
| APIGateway9. | La registrazione degli accessi deve essere configurata per API Gateway V2 Stages | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower, PCI DSS v4.0.1 | MEDIO | |
Attivate dalle modifiche |
| AppConfig1. | AWS AppConfig le applicazioni devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| AppConfig2. | AWS AppConfig i profili di configurazione devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| AppConfig3. | AWS AppConfig gli ambienti devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| AppConfig4. | AWS AppConfig le associazioni di estensione devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| AppFlow1. | AppFlow I flussi Amazon devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| AppRunner1. | I servizi App Runner devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| AppRunner2. | I connettori VPC App Runner devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| AppSync1. | AWS AppSync Le cache delle API devono essere crittografate quando sono inattive | AWS Best practice di sicurezza di base v1.0.0 | MEDIO | Attivate dalle modifiche | |
| AppSync2. | AWS AppSync dovrebbe avere la registrazione a livello di campo abilitata | AWS Best practice di sicurezza di base v1.0.0, PCI DSS v4.0.1 | MEDIO | |
Attivate dalle modifiche |
| AppSync4. | AWS AppSync GraphQL APIs dovrebbe essere taggato | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| AppSync5. | AWS AppSync GraphQL non APIs deve essere autenticato con chiavi API | AWS Best Practices di sicurezza v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ELEVATO) | |
Attivate dalle modifiche |
| AppSync6. | AWS AppSync Le cache delle API devono essere crittografate in transito | AWS Best practice di sicurezza di base v1.0.0 | MEDIO | Attivate dalle modifiche | |
| Atena.2 | I cataloghi di dati Athena devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| Atena.3 | I gruppi di lavoro Athena devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| Atena.4 | I gruppi di lavoro Athena devono avere la registrazione abilitata | AWS Best practice di sicurezza di base v1.0.0 | MEDIO | Attivate dalle modifiche | |
| AutoScaling1. | I gruppi di Auto Scaling associati a un sistema di bilanciamento del carico devono utilizzare i controlli di integrità ELB | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, PCI DSS v3.2.1, NIST SP 800-53 Rev. AWS Control Tower 5 | BASSO | Attivate dalle modifiche | |
| AutoScaling2. | Il gruppo Amazon EC2 Auto Scaling dovrebbe coprire più zone di disponibilità | AWS Best Practices di sicurezza v1.0.0, Service Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
Attivate dalle modifiche |
| AutoScaling3. | Le configurazioni di avvio del gruppo Auto Scaling devono configurare le EC2 istanze in modo da richiedere Instance Metadata Service versione 2 () IMDSv2 | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | HIGH (ELEVATO) | |
Attivate dalle modifiche |
| Autoscaling.5 | EC2 Le istanze Amazon avviate utilizzando le configurazioni di avvio del gruppo Auto Scaling non devono avere indirizzi IP pubblici | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5, PCI DSS AWS Control Tower v4.0.1 | HIGH (ELEVATO) | |
Attivate dalle modifiche |
| AutoScaling6. | I gruppi di Auto Scaling devono utilizzare più tipi di istanze in più zone di disponibilità | AWS Best Practices di sicurezza v1.0.0, Service Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
Attivate dalle modifiche |
| AutoScaling9. | EC2 I gruppi di Auto Scaling devono utilizzare EC2 modelli di avvio | AWS Best Practices di sicurezza v1.0.0, Service Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
Attivate dalle modifiche |
| AutoScaling.10 | EC2 I gruppi Auto Scaling devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| Backup.1 | AWS Backup i punti di ripristino devono essere crittografati quando sono inattivi | AWS Best Practices di sicurezza v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Attivate dalle modifiche |
| Backup.2 | AWS Backup i punti di ripristino devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| Backup.3 | AWS Backup le casseforti devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| Backup.4 | AWS Backup i piani di rapporto devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| Backup.5 | AWS Backup i piani di backup devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| Lotto.1 | Le code di lavori in batch devono essere contrassegnate | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| Lotto.2 | Le politiche di pianificazione dei batch devono essere contrassegnate | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| Lotto.3 | Gli ambienti di elaborazione in batch devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| Lotto.4 | Le proprietà delle risorse di calcolo negli ambienti di calcolo Batch gestiti devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| CloudFormation2. | CloudFormation le pile devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| CloudFront1. | CloudFront le distribuzioni devono avere un oggetto root predefinito | AWS Le migliori pratiche di sicurezza v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | HIGH (ELEVATO) | Attivate dalle modifiche | |
| CloudFront3. | CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito | AWS Le migliori pratiche di sicurezza v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
Attivate dalle modifiche |
| CloudFront4. | CloudFront le distribuzioni devono avere il failover di origine configurato | AWS Best Practices di sicurezza v1.0.0, NIST SP 800-53 Rev. 5 | BASSO | |
Attivate dalle modifiche |
| CloudFront5. | CloudFront le distribuzioni dovrebbero avere la registrazione abilitata | AWS Le migliori pratiche di sicurezza v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
Attivate dalle modifiche |
| CloudFront6. | CloudFront le distribuzioni dovrebbero avere WAF abilitato | AWS Le migliori pratiche di sicurezza v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
Attivate dalle modifiche |
| CloudFront7. | CloudFront le distribuzioni devono utilizzare certificati SSL/TLS | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MEDIO | |
Attivate dalle modifiche |
| CloudFront8. | CloudFront le distribuzioni devono utilizzare SNI per servire le richieste HTTPS | AWS Best Practices di sicurezza v1.0.0, NIST SP 800-53 Rev. 5 | BASSO | |
Attivate dalle modifiche |
| CloudFront9. | CloudFront le distribuzioni dovrebbero crittografare il traffico verso origini personalizzate | AWS Le migliori pratiche di sicurezza v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
Attivate dalle modifiche |
| CloudFront.10 | CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MEDIO | |
Attivate dalle modifiche |
| CloudFront1.2 | CloudFront le distribuzioni non devono puntare a origini S3 inesistenti | AWS Le migliori pratiche di sicurezza v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | HIGH (ELEVATO) | |
Periodic (Periodico) |
| CloudFront1.3 | CloudFront le distribuzioni dovrebbero utilizzare il controllo dell'accesso all'origine | AWS Best practice di sicurezza di base v1.0.0 | MEDIO | |
Attivate dalle modifiche |
| CloudFront1.4 | CloudFront le distribuzioni devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| CloudTrail1. | CloudTrail deve essere abilitato e configurato con almeno un percorso multiregionale che includa eventi di gestione di lettura e scrittura | CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, Foundational Security Best Practices v1.0.0, AWS Service Managed Standard:, NIST SP 800-53 Rev. AWS 5 AWS Control Tower | HIGH (ELEVATO) | Periodic (Periodico) | |
| CloudTrail2. | CloudTrail dovrebbe avere la crittografia a riposo abilitata | CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0 AWS Foundational Security Best practice v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1, Standard gestito dai servizi: AWS AWS Control Tower | MEDIO | |
Periodic (Periodico) |
| CloudTrail3. | Almeno un CloudTrail percorso deve essere abilitato | NIST SP800-171 Rev. 2, PCI DSS versione 4.0.1, PCI DSS versione 3.2.1 | HIGH (ELEVATO) | Periodic (Periodico) | |
| CloudTrail4. | CloudTrail la convalida dei file di registro deve essere abilitata | CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1, PCI DSS v3.2.1, Standard di gestione dei servizi: AWS AWS Control Tower | BASSO | |
Periodic (Periodico) |
| CloudTrail5. | CloudTrail i trail devono essere integrati con Amazon CloudWatch Logs | CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0, AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, Service Managed Standard: AWS Control Tower | BASSO | |
Periodic (Periodico) |
| CloudTrail6. | Verifica se il bucket S3 usato per archiviare CloudTrail i log non è accessibile pubblicamente | Benchmark CIS AWS Foundations v1.2.0, benchmark CIS Foundations v1.4.0, PCI DSS AWS v4.0.1 | CRITICO | |
Modifica attivata e periodica |
| CloudTrail7. | Verifica che la registrazione degli accessi al bucket S3 sia abilitata CloudTrail | Benchmark CIS AWS Foundations v1.2.0, benchmark CIS Foundations v1.4.0, benchmark CIS AWS Foundations v3.0.0, PCI DSS v4.0.1 AWS | BASSO | |
Periodic (Periodico) |
| CloudTrail9. | CloudTrail i sentieri devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| CloudTrail.10 | CloudTrail Gli archivi dati di Lake Event devono essere crittografati con Customer Managed AWS KMS keys | NIST SP 800-53 Rev. 5 | MEDIO | Periodic (Periodico) | |
| CloudWatch1. | È necessario che esistano un filtro e un allarme per le metriche dei log | Benchmark CIS AWS Foundations versione 1.4.0, benchmark CIS AWS Foundations versione 1.2.0, NIST SP 800-171 Rev. 2, PCI DSS versione 3.2.1 | BASSO | |
Periodic (Periodico) |
| CloudWatch2. | Verifica se esistono un filtro e un allarme per le metriche dei log relativamente alle chiamate API non autorizzate | Benchmark CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2 | BASSO | |
Periodic (Periodico) |
| CloudWatch3. | Verifica se esistono un filtro e un allarme per le metriche dei log per l'accesso alla Console di gestione senza autenticazione a più fattori (MFA) | Benchmark AWS CIS | BASSO | |
Periodic (Periodico) |
| CloudWatch4. | Verifica se esistono un filtro e un allarme per le metriche dei log relativamente alle modifiche apportate alle policy IAM | Benchmark CIS AWS Foundations v1.4.0, benchmark CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2 | BASSO | |
Periodic (Periodico) |
| CloudWatch5. | Verifica se esistono un filtro e un allarme per le metriche dei log relativamente alle modifiche apportate alla CloudTrail configurazione | Benchmark CIS AWS Foundations v1.4.0, benchmark CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2 | BASSO | |
Periodic (Periodico) |
| CloudWatch6. | Verifica se esistono un filtro e un allarme per le metriche dei log relativamente agli errori di AWS Management Console autenticazione | Benchmark CIS AWS Foundations v1.4.0, benchmark CIS Foundations v1.2.0, NIST SP 800-171 AWS Rev. 2 | BASSO | |
Periodic (Periodico) |
| CloudWatch7. | Verifica se esistono un filtro e un allarme per le metriche dei log per la disabilitazione o l'eliminazione pianificata del cliente creato dal cliente CMKs | Benchmark CIS AWS Foundations v1.4.0, benchmark CIS Foundations v1.2.0, NIST SP 800-171 AWS Rev. 2 | BASSO | |
Periodic (Periodico) |
| CloudWatch8. | Verifica se esistono un filtro e un allarme per le metriche dei log relativamente alle modifiche apportate alle policy dei bucket S3 | Benchmark CIS AWS Foundations v1.4.0, benchmark CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2 | BASSO | |
Periodic (Periodico) |
| CloudWatch9. | Verifica se esistono un filtro e un allarme per le metriche dei log relativamente alle modifiche apportate alla AWS Config configurazione | Benchmark CIS AWS Foundations v1.4.0, benchmark CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2 | BASSO | |
Periodic (Periodico) |
| CloudWatch.10 | Verifica se esistono un filtro e un allarme per le metriche dei log relativamente alle modifiche apportate al gruppo di sicurezza | Benchmark CIS AWS Foundations v1.4.0, benchmark CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2 | BASSO | |
Periodic (Periodico) |
| CloudWatch.11 | Verifica se esistono un filtro e un allarme per le metriche dei log relativamente alle modifiche apportate alle liste di controllo degli accessi alla rete (NACL) | Benchmark CIS AWS Foundations v1.4.0, benchmark CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2 | BASSO | |
Periodic (Periodico) |
| CloudWatch.12 | Verifica se esistono un filtro e un allarme per le metriche dei log relativamente alle modifiche apportate ai gateway di rete | Benchmark CIS AWS Foundations v1.4.0, benchmark CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2 | BASSO | |
Periodic (Periodico) |
| CloudWatch.13 | Verifica se esistono un filtro e un allarme per le metriche dei log relativamente alle modifiche apportate alle tabelle di routing | Benchmark CIS AWS Foundations v1.4.0, benchmark CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2 | BASSO | |
Periodic (Periodico) |
| CloudWatch.14 | Verifica se esistono un filtro e un allarme per le metriche dei log relativamente alle modifiche apportate al VPC | Benchmark CIS AWS Foundations v1.4.0, benchmark CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2 | BASSO | |
Periodic (Periodico) |
| CloudWatch.15 | CloudWatch gli allarmi dovrebbero avere azioni specificate configurate | NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | HIGH (ELEVATO) | |
Attivate dalle modifiche |
| CloudWatch1.6 | CloudWatch i gruppi di log devono essere conservati per un periodo di tempo specificato | NIST SP 800-53 Rev. 5 | MEDIO | |
Periodic (Periodico) |
| CloudWatch.17 | CloudWatch le azioni di allarme devono essere abilitate | NIST SP 800-53 Rev. 5 | HIGH (ELEVATO) | |
Attivate dalle modifiche |
| CodeArtifact1. | CodeArtifact i repository devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| CodeBuild1. | CodeBuild L'archivio sorgente di Bitbucket non URLs deve contenere credenziali sensibili | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, Service Managed Standard: AWS Control Tower | CRITICO | Attivate dalle modifiche | |
| CodeBuild2. | CodeBuild le variabili di ambiente del progetto non devono contenere credenziali di testo non crittografato | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, Service Managed Standard: AWS Control Tower | CRITICO | |
Attivate dalle modifiche |
| CodeBuild3. | CodeBuild I log di S3 devono essere crittografati | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Service Managed Standard:, AWS Control Tower | BASSO | |
Attivate dalle modifiche |
| CodeBuild4. | CodeBuild gli ambienti di progetto dovrebbero avere una configurazione di registrazione | AWS Best Practices di sicurezza v1.0.0, Service Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
Attivate dalle modifiche |
| CodeBuild7. | CodeBuild le esportazioni dei gruppi di report devono essere crittografate quando sono inattive | AWS Best practice di sicurezza di base v1.0.0 | MEDIO | Attivate dalle modifiche | |
| CodeGuruProfiler1. | CodeGuru I gruppi di profilazione di Profiler devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| CodeGuruReviewer1. | CodeGuru Le associazioni dei repository dei revisori devono essere contrassegnate | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| Cognito.1 | I pool di utenti di Cognito dovrebbero avere la protezione dalle minacce attivata con la modalità di imposizione completa delle funzioni per l'autenticazione standard | AWS Best practice di sicurezza di base v1.0.0 | MEDIO | Attivate dalle modifiche | |
| Config.1 | AWS Config deve essere abilitato e utilizzare il ruolo collegato al servizio per la registrazione delle risorse | Benchmark CIS AWS Foundations v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, Buone pratiche di sicurezza AWS Foundational v1.0.0, NIST SP 800-53 Rev. 5, AWS PCI DSS v3.2.1 | CRITICO | Periodic (Periodico) | |
| Connessione.1 | I tipi di oggetto di Amazon Connect Customer Profiles devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| Connessione.2 | Le istanze Amazon Connect devono avere la CloudWatch registrazione abilitata | AWS Best practice di sicurezza di base v1.0.0 | MEDIO | Attivate dalle modifiche | |
| DataFirehose1. | I flussi di distribuzione di Firehose devono essere crittografati quando sono inattivi | AWS Best Practices di sicurezza v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | Periodic (Periodico) | |
| DataSync1. | DataSync le attività dovrebbero avere la registrazione abilitata | AWS Best practice di sicurezza di base v1.0.0 | MEDIO | Attivate dalle modifiche | |
| DataSync2. | DataSync le attività devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| Detective. 1 | I grafici del comportamento dei Detective devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| DMS.1 | Le istanze di replica Database Migration Service non devono essere pubbliche | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, Service Managed Standard: AWS Control Tower | CRITICO | |
Periodic (Periodico) |
| DMS.2 | I certificati DMS devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| DMS.3 | Le sottoscrizioni agli eventi DMS devono essere contrassegnate | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| DMS.4 | Le istanze di replica DMS devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| DMS.5 | I sottoreti di replica DMS devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| DMS.6 | L'aggiornamento automatico delle versioni secondarie delle istanze di replica DMS deve essere abilitato | AWS Le migliori pratiche di sicurezza v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
Attivate dalle modifiche |
| DMS.7 | Le attività di replica DMS per il database di destinazione devono avere la registrazione abilitata | AWS Le migliori pratiche di sicurezza v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
Attivate dalle modifiche |
| DMS.8 | Le attività di replica DMS per il database di origine devono avere la registrazione abilitata | AWS Le migliori pratiche di sicurezza v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
Attivate dalle modifiche |
| DMS.9 | Gli endpoint DMS devono utilizzare SSL | AWS Le migliori pratiche di sicurezza v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
Attivate dalle modifiche |
| DMS.10 | Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata | AWS Le migliori pratiche di sicurezza v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | Attivate dalle modifiche | |
| DMS.11 | Gli endpoint DMS per MongoDB devono avere un meccanismo di autenticazione abilitato | AWS Le migliori pratiche di sicurezza v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | Attivate dalle modifiche | |
| DMS.12 | Gli endpoint DMS per Redis OSS devono avere TLS abilitato | AWS Le migliori pratiche di sicurezza v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | Attivate dalle modifiche | |
| Documento DB.1 | I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi | AWS Best Practices di sicurezza v1.0.0, NIST SP 800-53 Rev. 5, Service Managed Standard: AWS Control Tower | MEDIO | |
Attivate dalle modifiche |
| Documento DB.2 | I cluster Amazon DocumentDB devono avere un periodo di conservazione dei backup adeguato | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Service Managed Standard: AWS Control Tower | MEDIO | |
Attivate dalle modifiche |
| Documento DB.3 | Le snapshot manuali del cluster Amazon DocumentDB non devono essere pubbliche | AWS Le migliori pratiche di sicurezza v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | CRITICO | |
Attivate dalle modifiche |
| Documento DB.4 | I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch | AWS Le migliori pratiche di sicurezza v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
Attivate dalle modifiche |
| Documento DB.5 | I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata | AWS Best Practices di sicurezza v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Attivate dalle modifiche |
| Documento DB.6 | I cluster Amazon DocumentDB devono essere crittografati in transito | AWS Best practice di sicurezza di base v1.0.0 | MEDIO | Periodic (Periodico) | |
| DynamoDB.1 | Le tabelle DynamoDB dovrebbero scalare automaticamente la capacità in base alla domanda | AWS Best Practices di sicurezza v1.0.0, Service Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
Periodic (Periodico) |
| DynamoDB.2 | Le tabelle DynamoDB devono avere il ripristino abilitato point-in-time | AWS Best Practices di sicurezza v1.0.0, Service Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
Attivate dalle modifiche |
| DynamoDB.3 | I cluster DynamoDB Accelerator (DAX) devono essere crittografati a riposo | AWS Best Practices di sicurezza v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Periodic (Periodico) |
| Dynamo DB.4 | Le tabelle DynamoDB devono essere presenti in un piano di backup | NIST SP 800-53 Rev. 5 | MEDIO | |
Periodic (Periodico) |
| Dynamo DB.5 | Le tabelle DynamoDB devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| Dynamo DB.6 | Le tabelle DynamoDB devono avere la protezione da eliminazione abilitata | AWS Best Practices di sicurezza v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Attivate dalle modifiche |
| Dynamo DB.7 | I cluster DynamoDB Accelerator devono essere crittografati in transito | AWS Le migliori pratiche di sicurezza v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | Periodic (Periodico) | |
| EC21. | Le istantanee EBS non devono essere ripristinabili pubblicamente | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, PCI DSS v3.2.1, NIST SP 800-53 Rev. AWS Control Tower 5 | CRITICO | |
Periodic (Periodico) |
| EC22. | I gruppi di sicurezza VPC predefiniti non devono consentire il traffico in entrata o in uscita | CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.2.0, AWS AWS Foundational Security Best Practices v1.0.0, Service Managed Standard:, PCI DSS v3.2.1, CIS Foundations Benchmark v1.4.0, NIST SP 800-53 Rev. 5 AWS Control Tower AWS | HIGH (ELEVATO) | |
Attivate dalle modifiche |
| EC23. | I volumi EBS collegati devono essere crittografati quando sono inattivi | AWS Best Practices di sicurezza v1.0.0, Service Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
Attivate dalle modifiche |
| EC24. | EC2 Le istanze interrotte devono essere rimosse dopo un periodo di tempo specificato | AWS Best Practices di sicurezza v1.0.0, Service Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
Periodic (Periodico) |
| EC26. | La registrazione del flusso VPC deve essere abilitata in tutti VPCs | CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.2.0, AWS AWS Foundational Security Best Practices v1.0.0, Service Managed Standard:, PCI DSS v3.2.1, CIS Foundations Benchmark v1.4.0, NIST SP 800-53 Rev. 5 AWS Control Tower, NIST SP 800-171 Rev. 2 AWS | MEDIO | |
Periodic (Periodico) |
| EC27. | La crittografia predefinita di EBS deve essere abilitata | CIS AWS Foundations Benchmark v3.0.0, AWS Foundational Security Best Practices v1.0.0, Service Managed Standard:, CIS Foundations Benchmark v1.4.0, NIST SP 800-53 Rev. 5 AWS Control Tower AWS | MEDIO | |
Periodic (Periodico) |
| EC28. | EC2 le istanze devono utilizzare Instance Metadata Service Version 2 () IMDSv2 | CIS AWS Foundations Benchmark v3.0.0, AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Service Managed Standard: AWS Control Tower | HIGH (ELEVATO) | |
Attivate dalle modifiche |
| EC29. | EC2 le istanze non devono avere un indirizzo pubblico IPv4 | AWS Best Practices di sicurezza v1.0.0, Service Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | HIGH (ELEVATO) | |
Attivate dalle modifiche |
| EC2.10 | Amazon EC2 deve essere configurato per utilizzare gli endpoint VPC creati per il servizio Amazon EC2 | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower, NIST SP 800-171 Rev. 2 | MEDIO | |
Periodic (Periodico) |
| EC2.12 | Non utilizzato EC2 EIPs deve essere rimosso | PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | BASSO | |
Attivate dalle modifiche |
| EC21.3 | I gruppi di sicurezza dovrebbero consentire l'ingresso da 0./0 o: :/0 alla porta 22 | Benchmark CIS AWS Foundations versione 1.2.0, PCI DSS versione 3.2.1, PCI DSS versione 4.0.1, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | HIGH (ELEVATO) | Modifica attivata e periodica | |
| EC21.4 | I gruppi di sicurezza dovrebbero consentire l'ingresso da 0./0 o: :/0 alla porta 3389 | Benchmark CIS AWS Foundations v1.2.0, PCI DSS v4.0.1 | HIGH (ELEVATO) | Modifica attivata e periodica | |
| EC21.5 | EC2 le sottoreti non devono assegnare automaticamente indirizzi IP pubblici | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Service Managed Standard:, AWS Control Tower | MEDIO | |
Attivate dalle modifiche |
| EC21.6 | Gli elenchi di controllo degli accessi alla rete non utilizzati devono essere rimossi | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1, Service Managed Standard:, AWS Control Tower | BASSO | |
Attivate dalle modifiche |
| EC21.7 | EC2 le istanze non devono utilizzare più istanze ENIs | AWS Best Practices di sicurezza v1.0.0, Service Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | BASSO | |
Attivate dalle modifiche |
| EC21.8 | I gruppi di sicurezza dovrebbero consentire il traffico in entrata senza restrizioni solo per le porte autorizzate | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower, NIST SP 800-171 Rev. 2 | HIGH (ELEVATO) | |
Attivate dalle modifiche |
| EC21.9 | I gruppi di sicurezza non dovrebbero consentire l'accesso illimitato ai porti ad alto rischio | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower, NIST SP 800-171 Rev. 2 | CRITICO | Modifica attivata e periodica | |
| EC22.0 | Entrambi i tunnel VPN per una connessione AWS Site-to-Site VPN dovrebbero essere attivi | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower, NIST SP 800-171 Rev. 2 | MEDIO | |
Attivate dalle modifiche |
| EC22.1 | La rete non ACLs dovrebbe consentire l'ingresso da 0.0.0.0/0 alla porta 22 o alla porta 3389 | CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, AWS AWS Foundational Security Best Practices v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 AWS Control Tower | MEDIO | |
Attivate dalle modifiche |
| EC22.2 | I gruppi di EC2 sicurezza non utilizzati devono essere rimossi | Standard gestito dai servizi: AWS Control Tower | MEDIO | Periodic (Periodico) | |
| EC2.23 | EC2 I Transit Gateway non dovrebbero accettare automaticamente le richieste di allegati VPC | AWS Best Practices di sicurezza v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ELEVATO) | |
Attivate dalle modifiche |
| EC22.4 | EC2 i tipi di istanze paravirtuali non devono essere utilizzati | AWS Best Practices di sicurezza v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Attivate dalle modifiche |
| EC22.5 | EC2 i modelli di avvio non devono assegnare interfacce pubbliche IPs alle interfacce di rete | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Service Managed Standard: AWS Control Tower | HIGH (ELEVATO) | |
Attivate dalle modifiche |
| EC22.8 | I volumi EBS devono essere inclusi in un piano di backup | NIST SP 800-53 Rev. 5 | BASSO | |
Periodic (Periodico) |
| EC2.33 | EC2 gli allegati del gateway di transito devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| EC23.4 | EC2 Le tabelle di routing del gateway di transito devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| EC23.5 | EC2 le interfacce di rete devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| EC23.6 | EC2 i gateway per i clienti devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| EC23.7 | EC2 Gli indirizzi IP elastici devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| EC23.8 | EC2 le istanze devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| EC2.39 | EC2 i gateway internet devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| EC2.40 | EC2 I gateway NAT devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| EC24.1 | EC2 la rete ACLs deve essere etichettata | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| EC24.2 | EC2 le tabelle delle rotte devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| EC24.3 | EC2 i gruppi di sicurezza devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| EC24.4 | EC2 le sottoreti devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| EC2.45 | EC2 i volumi devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| EC24.6 | Amazon VPCs dovrebbe essere taggato | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| EC24.7 | I servizi endpoint Amazon VPC devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| EC24.8 | I log di flusso Amazon VPC devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| EC24.9 | Le connessioni peering Amazon VPC devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| EC2.50 | EC2 I gateway VPN devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| EC25.1 | EC2 Gli endpoint Client VPN devono avere la registrazione della connessione client abilitata | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | BASSO | |
Attivate dalle modifiche |
| EC25.2 | EC2 i gateway di transito devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| EC25.3 | EC2 i gruppi di sicurezza non devono consentire l'ingresso da 0.0.0/0 alle porte di amministrazione del server remoto | Benchmark CIS AWS Foundations v3.0.0, PCI DSS v4.0.1 | HIGH (ELEVATO) | Periodic (Periodico) | |
| EC25.4 | EC2 i gruppi di sicurezza non devono consentire l'ingresso da: /0 alle porte di amministrazione del server remoto | Benchmark CIS AWS Foundations v3.0.0, PCI DSS v4.0.1 | HIGH (ELEVATO) | Periodic (Periodico) | |
| EC25.5 | VPCs deve essere configurato con un endpoint di interfaccia per l'API ECR | AWS Best Practices di sicurezza v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | Periodic (Periodico) | |
| EC2.56 | VPCs deve essere configurato con un endpoint di interfaccia per Docker Registry | AWS Best Practices di sicurezza v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | Periodic (Periodico) | |
| EC2.57 | VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager | AWS Best Practices di sicurezza v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | Periodic (Periodico) | |
| EC2.58 | VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager Contacts | AWS Best Practices di sicurezza v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | Periodic (Periodico) | |
| EC2.60 | VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager | AWS Best Practices di sicurezza v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | Periodic (Periodico) | |
| EC2.170 | EC2 i modelli di avvio devono utilizzare la versione 2 del servizio di metadati IMDSv2 | AWS Best practice di sicurezza di base v1.0.0, PCI DSS v4.0.1 | BASSO | Attivate dalle modifiche | |
| EC2.171 | EC2 Le connessioni VPN devono avere la registrazione abilitata | AWS Best practice di sicurezza di base v1.0.0, PCI DSS v4.0.1 | MEDIO | Attivate dalle modifiche | |
| EC21.72 | EC2 Le impostazioni VPC Block Public Access dovrebbero bloccare il traffico del gateway Internet | AWS Best practice di sicurezza di base v1.0.0 | MEDIO | Attivate dalle modifiche | |
| EC21.73 | EC2 Le richieste Spot Fleet devono abilitare la crittografia per i volumi EBS collegati | AWS Best practice di sicurezza di base v1.0.0 | MEDIO | Attivate dalle modifiche | |
| EC2.174 | EC2 I set di opzioni DHCP devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| EC2.175 | EC2 i modelli di lancio devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| EC21.76 | EC2 gli elenchi di prefissi devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| EC21.77 | EC2 le sessioni di traffic mirror devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| EC21.78 | EC2 i filtri degli specchi stradali devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| EC21.79 | EC2 gli obiettivi del Traffic Mirror devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| ECR.1 | Gli archivi privati ECR devono avere la scansione delle immagini configurata | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Service Managed Standard: AWS Control Tower | HIGH (ELEVATO) | |
Periodic (Periodico) |
| ECR.2 | Gli archivi privati ECR devono avere l'immutabilità dei tag configurata | AWS Best Practices di sicurezza v1.0.0, Service Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
Attivate dalle modifiche |
| ECR.3 | Gli archivi ECR devono avere almeno una policy del ciclo di vita configurata | AWS Best Practices di sicurezza v1.0.0, Service Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
Attivate dalle modifiche |
| ECR.4 | Gli archivi pubblici ECR devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| ECR.5 | Gli archivi ECR devono essere crittografati con Customer Managed AWS KMS keys | NIST SP 800-53 Rev. 5 | MEDIO | Attivate dalle modifiche | |
| ECS.1 | Le definizioni delle attività di Amazon ECS devono avere modalità di rete e definizioni utente sicure. | AWS Best Practices di sicurezza v1.0.0, Service Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | HIGH (ELEVATO) | |
Attivate dalle modifiche |
| ECS.2 | Ai servizi ECS non dovrebbero essere assegnati automaticamente indirizzi IP pubblici | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Service Managed Standard: AWS Control Tower | HIGH (ELEVATO) | |
Attivate dalle modifiche |
| ECS.3 | Le definizioni delle attività ECS non devono condividere lo spazio dei nomi del processo dell'host | AWS Best Practices di sicurezza v1.0.0, Service Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | HIGH (ELEVATO) | |
Attivate dalle modifiche |
| ECS.4 | I contenitori ECS devono essere eseguiti come non privilegiati | AWS Best Practices di sicurezza v1.0.0, Service Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | HIGH (ELEVATO) | |
Attivate dalle modifiche |
| ECS.5 | I contenitori ECS dovrebbero essere limitati all'accesso in sola lettura ai filesystem root | AWS Best Practices di sicurezza v1.0.0, Service Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | HIGH (ELEVATO) | |
Attivate dalle modifiche |
| ECS.8 | I segreti non devono essere trasmessi come variabili di ambiente del container | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Service Managed Standard: AWS Control Tower | HIGH (ELEVATO) | |
Attivate dalle modifiche |
| ECS.9 | Le definizioni delle attività ECS devono avere una configurazione di registrazione | AWS Best Practices di sicurezza v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ELEVATO) | |
Attivate dalle modifiche |
| ECS.10 | I servizi ECS Fargate devono essere eseguiti sulla versione della piattaforma Fargate più recente | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Service Managed Standard: AWS Control Tower | MEDIO | |
Attivate dalle modifiche |
| ECS.12 | I cluster ECS devono utilizzare Container Insights | AWS Best Practices di sicurezza v1.0.0, Service Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
Attivate dalle modifiche |
| ECS.13 | I servizi ECS devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| ECS.14 | I cluster ECS devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| ECS.15 | Le definizioni delle attività ECS devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| ECS.16 | I set di attività ECS non devono assegnare automaticamente indirizzi IP pubblici | AWS Best practice di sicurezza di base v1.0.0, PCI DSS v4.0.1 | HIGH (ELEVATO) | Attivate dalle modifiche | |
| ECS.17 | Le definizioni delle attività ECS non devono utilizzare la modalità di rete host | NIST SP 800-53 Rev. 5 | MEDIO | Attivate dalle modifiche | |
| EFS.1 | Elastic File System deve essere configurato per crittografare i dati dei file archiviati utilizzando AWS KMS | CIS AWS Foundations Benchmark v3.0.0, AWS Foundational Security Best Practices v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
Periodic (Periodico) |
| EFS.2 | I volumi Amazon EFS devono essere inclusi nei piani di backup | AWS Best Practices di sicurezza v1.0.0, Service Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
Periodic (Periodico) |
| EFS.3 | I punti di accesso EFS devono applicare una directory principale | AWS Best Practices di sicurezza v1.0.0, Service Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
Attivate dalle modifiche |
| EFS.4 | I punti di accesso EFS devono applicare un'identità utente | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Service Managed Standard: AWS Control Tower | MEDIO | |
Attivate dalle modifiche |
| EFS.5 | I punti di accesso EFS devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| EFS.6 | Gli obiettivi di montaggio EFS non devono essere associati a una sottorete pubblica | AWS Best practice di sicurezza di base v1.0.0 | MEDIO | Periodic (Periodico) | |
| EFS.7 | I file system EFS devono avere i backup automatici abilitati | AWS Best practice di sicurezza di base v1.0.0 | MEDIO | Attivate dalle modifiche | |
| EFS.8 | I file system EFS devono essere crittografati quando sono inattivi | AWS Best practice di sicurezza di base v1.0.0 | MEDIO | Attivate dalle modifiche | |
| EKS.1 | Gli endpoint del cluster EKS non devono essere accessibili pubblicamente | AWS Le migliori pratiche di sicurezza v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | HIGH (ELEVATO) | |
Periodic (Periodico) |
| EKS.2 | I cluster EKS devono essere eseguiti su una versione di Kubernetes supportata | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Service Managed Standard: AWS Control Tower | HIGH (ELEVATO) | |
Attivate dalle modifiche |
| EKS.3 | I cluster EKS devono utilizzare segreti Kubernetes crittografati | AWS Le migliori pratiche di sicurezza v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | Periodic (Periodico) | |
| EKS.6 | I cluster EKS devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| EKS.7 | Le configurazioni dei provider di identità EKS devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| EKS.8 | I cluster EKS dovrebbero avere la registrazione di controllo abilitata | AWS Le migliori pratiche di sicurezza v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
Attivate dalle modifiche |
| ElastiCache1. | ElastiCache I cluster (Redis OSS) devono avere i backup automatici abilitati | AWS Best Practices di sicurezza v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ELEVATO) | |
Periodic (Periodico) |
| ElastiCache2. | ElastiCache i cluster dovrebbero avere abilitato gli aggiornamenti automatici delle versioni | AWS Le migliori pratiche di sicurezza v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | HIGH (ELEVATO) | |
Periodic (Periodico) |
| ElastiCache3. | ElastiCache i gruppi di replica devono avere il failover automatico abilitato | AWS Best Practices di sicurezza v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Periodic (Periodico) |
| ElastiCache4. | ElastiCache i gruppi di replica dovrebbero essere encrypted-at-rest | AWS Best Practices di sicurezza v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Periodic (Periodico) |
| ElastiCache5. | ElastiCache i gruppi di replica dovrebbero essere encrypted-in-transit | AWS Le migliori pratiche di sicurezza v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
Periodic (Periodico) |
| ElastiCache6. | ElastiCache (Redis OSS) i gruppi di replica delle versioni precedenti devono avere Redis OSS AUTH abilitato | AWS Le migliori pratiche di sicurezza v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
Periodic (Periodico) |
| ElastiCache7. | ElastiCache i cluster non devono utilizzare il gruppo di sottoreti predefinito | AWS Best Practices di sicurezza v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ELEVATO) | |
Periodic (Periodico) |
| ElasticBeanstalk1. | Gli ambienti Elastic Beanstalk dovrebbero avere la reportistica sanitaria avanzata abilitata | AWS Best Practices di sicurezza v1.0.0, Service Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | BASSO | |
Attivate dalle modifiche |
| ElasticBeanstalk2. | Gli aggiornamenti della piattaforma gestita da Elastic Beanstalk devono essere abilitati | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Service Managed Standard: AWS Control Tower | HIGH (ELEVATO) | |
Attivate dalle modifiche |
| ElasticBeanstalk3. | Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch | AWS Best practice di sicurezza di base v1.0.0, PCI DSS v4.0.1 | HIGH (ELEVATO) | |
Attivate dalle modifiche |
| ELB.1 | Application Load Balancer deve essere configurato per reindirizzare tutte le richieste HTTP a HTTPS | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, PCI DSS v3.2.1, NIST SP 800-53 AWS Control Tower Rev. 5 | MEDIO | |
Periodic (Periodico) |
| ELB.2 | I sistemi di bilanciamento del carico classici con listener SSL/HTTPS devono utilizzare un certificato fornito da AWS Certificate Manager | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MEDIO | |
Attivate dalle modifiche |
| ELB.3 | I listener Classic Load Balancer devono essere configurati con terminazione HTTPS o TLS | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1, Service Managed Standard: AWS Control Tower | MEDIO | |
Attivate dalle modifiche |
| ELB.4 | Application Load Balancer deve essere configurato per eliminare le intestazioni http | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Service Managed Standard: AWS Control Tower | MEDIO | |
Attivate dalle modifiche |
| ELB.5 | La registrazione di Application e Classic Load Balancers deve essere abilitata | AWS Best Practices di sicurezza v1.0.0, Service Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
Attivate dalle modifiche |
| ELB.6 | Application, Gateway e Network Load Balancer devono avere la protezione da eliminazione abilitata | AWS Best Practices di sicurezza v1.0.0, Service Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | Attivate dalle modifiche | |
| ELB.7 | I Classic Load Balancer dovrebbero avere abilitato il drenaggio della connessione | AWS Best Practices di sicurezza v1.0.0, Service Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
Attivate dalle modifiche |
| ELB.8 | I Classic Load Balancer con listener SSL devono utilizzare una politica di sicurezza predefinita con una configurazione avanzata | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1, Service Managed Standard: AWS Control Tower | MEDIO | |
Attivate dalle modifiche |
| ELB.9 | I Classic Load Balancer devono avere il load balancer abilitato | AWS Best Practices di sicurezza v1.0.0, Service Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
Attivate dalle modifiche |
| ELB.10 | Classic Load Balancer dovrebbe estendersi su più zone di disponibilità | AWS Best Practices di sicurezza v1.0.0, Service Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
Attivate dalle modifiche |
| ELB.12 | Application Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa. | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Service Managed Standard: AWS Control Tower | MEDIO | |
Attivate dalle modifiche |
| ELB.13 | I sistemi di bilanciamento del carico (Application, Network e Gateway Load Balancer) devono estendersi su più zone di disponibilità | AWS Best Practices di sicurezza v1.0.0, Service Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
Attivate dalle modifiche |
| ELB.14 | Classic Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa. | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Service Managed Standard: AWS Control Tower | MEDIO | |
Attivate dalle modifiche |
| ELB.16 | Gli Application Load Balancer devono essere associati a un ACL web WAF AWS | NIST SP 800-53 Rev. 5 | MEDIO | |
Attivate dalle modifiche |
| ELB.17 | Gli Application e Network Load Balancer con listener devono utilizzare le policy di sicurezza consigliate | AWS Best Practices di sicurezza v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Attivate dalle modifiche |
| EMR.1 | I nodi primari del cluster Amazon EMR non devono avere indirizzi IP pubblici | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Service Managed Standard: AWS Control Tower | HIGH (ELEVATO) | Periodic (Periodico) | |
| EMR.2 | L'impostazione di blocco dell'accesso pubblico di Amazon EMR deve essere abilitata | AWS Le migliori pratiche di sicurezza v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | CRITICO | Periodic (Periodico) | |
| EMR.3 | Le configurazioni di sicurezza di Amazon EMR devono essere crittografate quando sono inattive | AWS Best Practices di sicurezza v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | Attivate dalle modifiche | |
| EMR.4 | Le configurazioni di sicurezza di Amazon EMR devono essere crittografate in transito | AWS Best Practices di sicurezza v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | Attivate dalle modifiche | |
| ES.1 | I domini Elasticsearch devono avere la crittografia a riposo abilitata | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard: AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | MEDIO | |
Periodic (Periodico) |
| ES.2 | I domini Elasticsearch non devono essere accessibili pubblicamente | AWS Buone pratiche di sicurezza di base v1.0.0, PCI DSS v3.2.1, PCI DSS v4.0.1, NIST SP 800-53 Rev. 5, Service Managed Standard: AWS Control Tower | CRITICO | |
Periodic (Periodico) |
| ES.3 | I domini Elasticsearch devono crittografare i dati inviati tra i nodi | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Service Managed Standard:, AWS Control Tower | MEDIO | |
Attivate dalle modifiche |
| ES.4 | La registrazione degli errori del dominio Elasticsearch nei registri deve essere abilitata CloudWatch | AWS Best Practices di sicurezza v1.0.0, Service Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
Attivate dalle modifiche |
| ES.5 | I domini Elasticsearch devono avere la registrazione di controllo abilitata | AWS Best Practices di sicurezza v1.0.0, NIST SP 800-53 Rev. 5, Service Managed Standard: AWS Control Tower | MEDIO | |
Attivate dalle modifiche |
| ES.6 | I domini Elasticsearch devono avere almeno tre nodi di dati | AWS Best Practices di sicurezza v1.0.0, Service Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
Attivate dalle modifiche |
| ES.7 | I domini Elasticsearch devono essere configurati con almeno tre nodi master dedicati | AWS Best Practices di sicurezza v1.0.0, Service Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
Attivate dalle modifiche |
| ES.8 | Le connessioni ai domini Elasticsearch devono essere crittografate utilizzando la più recente politica di sicurezza TLS | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Service Managed Standard: AWS Control Tower | MEDIO | Attivate dalle modifiche | |
| ES.9 | I domini Elasticsearch devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| EventBridge2. | EventBridge gli event bus devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| EventBridge3. | EventBridge i bus di eventi personalizzati dovrebbero avere una policy basata sulle risorse | AWS Le migliori pratiche di sicurezza v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | BASSO | |
Attivate dalle modifiche |
| EventBridge4. | EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata | NIST SP 800-53 Rev. 5 | MEDIO | |
Attivate dalle modifiche |
| FraudDetector1. | I tipi di entità Amazon Fraud Detector devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| FraudDetector2. | Le etichette di Amazon Fraud Detector devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| FraudDetector3. | I risultati di Amazon Fraud Detector devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| FraudDetector4. | Le variabili di Amazon Fraud Detector devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| FSx1. | FSx per i file system OpenZFS deve essere configurato per copiare i tag nei backup e nei volumi | AWS Best Practices di sicurezza v1.0.0, NIST SP 800-53 Rev. 5 | BASSO | |
Periodic (Periodico) |
| FSx2. | FSx i file system per Lustre devono essere configurati per copiare i tag nei backup | AWS Best Practices di sicurezza v1.0.0, NIST SP 800-53 Rev. 5 | BASSO | Periodic (Periodico) | |
| FSx3. | FSx per OpenZFS i file system devono essere configurati per l'implementazione Multi-AZ | AWS Best practice di sicurezza di base v1.0.0 | MEDIO | Periodic (Periodico) | |
| FSx4. | FSx per NetApp ONTAP i file system devono essere configurati per l'implementazione Multi-AZ | AWS Best practice di sicurezza di base v1.0.0 | MEDIO | Periodic (Periodico) | |
| FSx5. | FSx per Windows File Server i file system devono essere configurati per la distribuzione | AWS Best practice di sicurezza di base v1.0.0 | MEDIO | Periodic (Periodico) | |
| Colla. 1 | AWS Glue i lavori devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| Colla. 3 | AWS Glue le trasformazioni di apprendimento automatico devono essere crittografate a riposo | AWS Best practice di sicurezza di base v1.0.0 | MEDIO | Attivate dalle modifiche | |
| Colla. 4 | AWS Glue I job Spark dovrebbero essere eseguiti su versioni supportate di AWS Glue | AWS Best Practices di sicurezza v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | Attivate dalle modifiche | |
| GlobalAccelerator1. | Gli acceleratori di Global Accelerator vanno etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| GuardDuty1. | GuardDuty dovrebbe essere abilitato | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1, Standard di gestione dei servizi: AWS Control Tower | HIGH (ELEVATO) | |
Periodic (Periodico) |
| GuardDuty2. | GuardDuty i filtri devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| GuardDuty3. | GuardDuty IPSets deve essere etichettato | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| GuardDuty4. | GuardDuty i rilevatori devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| GuardDuty5. | GuardDuty Il monitoraggio dei log audit EKS deve essere abilitato | AWS Best practice di sicurezza di base v1.0.0 | HIGH (ELEVATO) | Periodic (Periodico) | |
| GuardDuty6. | GuardDuty La protezione Lambda deve essere abilitata | AWS Best practice di sicurezza di base v1.0.0, PCI DSS v4.0.1 | HIGH (ELEVATO) | Periodic (Periodico) | |
| GuardDuty7. | GuardDuty EKS Runtime Monitoring deve essere abilitato | AWS Best practice di sicurezza di base v1.0.0, PCI DSS v4.0.1 | MEDIO | Periodic (Periodico) | |
| GuardDuty8. | GuardDuty La protezione da malware per EC2 deve essere abilitata | AWS Best practice di sicurezza di base v1.0.0 | HIGH (ELEVATO) | Periodic (Periodico) | |
| GuardDuty9. | GuardDuty La protezione RDS deve essere abilitata | AWS Best practice di sicurezza di base v1.0.0, PCI DSS v4.0.1 | HIGH (ELEVATO) | Periodic (Periodico) | |
| GuardDuty.10 | GuardDuty La protezione S3 deve essere abilitata | AWS Best Practices di sicurezza v1.0.0, PCI DSS v4.0.1 | HIGH (ELEVATO) | Periodic (Periodico) | |
| GuardDuty1.1 | GuardDuty Il monitoraggio del runtime deve essere abilitato | AWS Best practice di sicurezza di base v1.0.0 | HIGH (ELEVATO) | Periodic (Periodico) | |
| GuardDuty1.2 | GuardDuty Il monitoraggio del runtime ECS deve essere abilitato | AWS Best practice di sicurezza di base v1.0.0 | MEDIO | Periodic (Periodico) | |
| GuardDuty.13 | GuardDuty EC2 Il monitoraggio del runtime deve essere abilitato | AWS Best practice di sicurezza di base v1.0.0 | MEDIO | Periodic (Periodico) | |
| IAM.1 | Le policy IAM non devono consentire privilegi amministrativi «*» completi | CIS AWS Foundations Benchmark v1.2.0, AWS Foundational Security Best Practices v1.0.0, Service Managed Standard:, PCI DSS v3.2.1, CIS Foundations Benchmark v1.4.0 AWS Control Tower, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 AWS | HIGH (ELEVATO) | |
Attivate dalle modifiche |
| IAM.2 | Gli utenti IAM non devono avere policy IAM allegate | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.2.0, AWS Foundational Security Best Practices v1.0.0, Service Managed Standard: AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | BASSO | |
Attivate dalle modifiche |
| IAM.3 | Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno | CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, AWS Foundational Security Best Practices v1.0.0, AWS NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Service Managed Standard: AWS Control Tower | MEDIO | |
Periodic (Periodico) |
| IAM.4 | La chiave di accesso per l'utente root IAM non deve esistere | CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, AWS Foundational Security Best Practices v1.0.0, Service Managed Standard:, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 AWS AWS Control Tower | CRITICO | |
Periodic (Periodico) |
| IAM.5 | La MFA deve essere abilitata per tutti gli utenti IAM che dispongono di una password per la console | CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, AWS Foundational Security Best Practices v1.0.0, NIST AWS SP 800-53 Rev. 5, PCI DSS v4.0.1, Service Managed Standard: AWS Control Tower | MEDIO | |
Periodic (Periodico) |
| IAM.6 | L'MFA hardware deve essere abilitato per l'utente root | CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, AWS Foundational Security Best Practices v1.0.0, NIST AWS SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, Service Managed Standard: AWS Control Tower | CRITICO | |
Periodic (Periodico) |
| IAM.7 | Le politiche relative alle password per gli utenti IAM dovrebbero avere configurazioni solide | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1, Service Managed Standard: AWS Control Tower | MEDIO | |
Periodic (Periodico) |
| IAM.8 | Le credenziali utente IAM non utilizzate devono essere rimosse | CIS AWS Foundations Benchmark v1.2.0, AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1, Service Managed Standard: AWS Control Tower | MEDIO | |
Periodic (Periodico) |
| IAM.9 | MFA deve essere abilitato per l'utente root | Benchmark CIS AWS Foundations versione 3.0.0, benchmark CIS Foundations versione 1.4.0, benchmark CIS AWS Foundations versione 1.2.0, NIST SP 800-53 Rev. 5, PCI AWS DSS versione 3.2.1, PCI DSS versione 4.0.1 | CRITICO | |
Periodic (Periodico) |
| IO SONO 10 | Le politiche relative alle password per gli utenti IAM devono avere configurazioni solide | NIST SP 800-171 Rev. 2, PCI DSS v3.2.1 | MEDIO | |
Periodic (Periodico) |
| IAM.11 | Verifica che la policy delle password IAM richieda almeno una lettera maiuscola | Benchmark CIS AWS Foundations | MEDIO | |
Periodic (Periodico) |
| IAM.12 | Verifica che la policy delle password IAM richieda almeno una lettera minuscola | Benchmark CIS AWS Foundations | MEDIO | |
Periodic (Periodico) |
| IAM.13 | Verifica che la policy delle password IAM richieda almeno un simbolo | Benchmark CIS AWS Foundations | MEDIO | |
Periodic (Periodico) |
| IAM.14 | Verifica che la policy delle password IAM richieda almeno un numero | Benchmark CIS AWS Foundations | MEDIO | |
Periodic (Periodico) |
| IAM.15 | Verifica se la policy delle password IAM richieda una lunghezza minima della password | Benchmark CIS AWS Foundations versione 3.0.0, benchmark CIS Foundations v1.4.0, benchmark CIS AWS Foundations v1.2.0, NIST SP 800-171 AWS Rev. 2 | MEDIO | |
Periodic (Periodico) |
| IAM.16 | Verifica che la policy delle password di IAM impedisca il riutilizzo delle password | Benchmark CIS AWS Foundations v3.0.0, benchmark CIS Foundations v1.4.0, benchmark CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2, AWS PCI DSS versione 4.0.1 | BASSO | |
Periodic (Periodico) |
| IAM.17 | Assicurati che la policy sulle password di IAM faccia scadere le password entro 90 giorni o meno | Benchmark CIS AWS Foundations | BASSO | |
Periodic (Periodico) |
| IAM.18 | Verifica se è stato creato un ruolo di supporto Supporto AWS | Benchmark CIS AWS Foundations versione 3.0.0, benchmark CIS Foundations versione 1.4.0, benchmark CIS AWS Foundations versione 1.2.0, NIST SP 800-171 Rev. 2, PCI AWS DSS versione 4.0.1 | BASSO | |
Periodic (Periodico) |
| IO HO 19 ANNI | L'MFA deve essere abilitata per tutti gli utenti IAM | NIST SP800-53 Rev. 5, NIST SP800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 | MEDIO | |
Periodic (Periodico) |
| IAM.21 | Le policy gestite dai clienti IAM che crei non dovrebbero consentire azioni jolly per i servizi | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower, NIST SP 800-171 Rev. 2 | BASSO | |
Attivate dalle modifiche |
| IO HO 22 ANNI | Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse | Benchmark CIS AWS Foundations v3.0.0, benchmark CIS AWS Foundations v1.4.0, NIST SP 800-171 Rev. 2 | MEDIO | |
Periodic (Periodico) |
| IO HO 23 ANNI | Gli analizzatori IAM Access Analyzer devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| IO HO 24 ANNI | I ruoli IAM devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| IO HO 25 ANNI | Gli utenti IAM devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| IO HO 26 ANNI | I certificati SSL/TLS scaduti gestiti in IAM devono essere rimossi | AWS Benchmark CIS Foundations v3.0.0 | MEDIO | Periodic (Periodico) | |
| IO SONO 0,27 | La policy non dovrebbe essere allegata alle identità IAM AWSCloud ShellFullAccess | Benchmark CIS AWS Foundations v3.0.0 | MEDIO | Attivate dalle modifiche | |
| IO HO 28 ANNI | Lo strumento di analisi degli accessi esterni di IAM Access Analyzer deve essere abilitato | Benchmark CIS Foundations v3.0.0 AWS | HIGH (ELEVATO) | Periodic (Periodico) | |
| Ispettore.1 | La EC2 scansione di Amazon Inspector deve essere abilitata | AWS Best Practices di sicurezza v1.0.0, PCI DSS v4.0.1 | HIGH (ELEVATO) | Periodic (Periodico) | |
| Ispettore.2 | La scansione ECR di Amazon Inspector deve essere abilitata | AWS Best Practices di sicurezza v1.0.0, PCI DSS v4.0.1 | HIGH (ELEVATO) | Periodic (Periodico) | |
| Ispettore.3 | La scansione del codice Amazon Inspector Lambda deve essere abilitata | AWS Best Practices di sicurezza v1.0.0, PCI DSS v4.0.1 | HIGH (ELEVATO) | Periodic (Periodico) | |
| Ispettore.4 | La scansione standard di Amazon Inspector Lambda deve essere abilitata | AWS Best Practices di sicurezza v1.0.0, PCI DSS v4.0.1 | HIGH (ELEVATO) | Periodic (Periodico) | |
| IoT.1 | AWS IoT Device Defender i profili di sicurezza devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| IoT.2 | AWS IoT Core le azioni di mitigazione devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| IoT.3 | AWS IoT Core le dimensioni devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| IoT.4 | AWS IoT Core gli autorizzatori devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| IoT.5 | AWS IoT Core gli alias di ruolo devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| IoT.6 | AWS IoT Core le politiche devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| TEventsIon 1. | AWS IoT Events gli input devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| TEventsIon 2. | AWS IoT Events i modelli di rilevatori devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| TEventsIon 3. | AWS IoT Events i modelli di allarme devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| Io Wise.1 TSite | AWS IoT SiteWise i modelli di asset devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| Io Wise.2 TSite | AWS IoT SiteWise i dashboard devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| Io Wise.3 TSite | AWS IoT SiteWise i gateway devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| Io Wise.4 TSite | AWS IoT SiteWise i portali devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| Io Wise.5 TSite | AWS IoT SiteWise i progetti devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| Io Maker.1 TTwin | AWS I lavori di TwinMaker sincronizzazione IoT devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| Io Maker.2 TTwin | AWS TwinMaker Gli spazi di lavoro IoT devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| Io TTwin Maker.3 | AWS TwinMaker Le scene IoT devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| Io Maker.4 TTwin | AWS TwinMaker Le entità IoT devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| TWirelessIon 1. | AWS I gruppi multicast IoT Wireless devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| TWirelessIon 2. | AWS I profili dei servizi IoT Wireless devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| TWirelessIon 3. | AWS Le attività IOT Wireless FUOTA devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| IVS.1 | Le coppie di chiavi di riproduzione IVS devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| IVS.2 | Le configurazioni di registrazione IVS devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| IVS.3 | I canali IVS devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| Spazi chiavi.1 | Gli spazi chiave di Amazon Keyspaces devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| Kinesis.1 | Gli stream Kinesis devono essere crittografati quando sono inattivi | AWS Best Practices di sicurezza v1.0.0, Service Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
Attivate dalle modifiche |
| Cinesi.2 | Gli stream Kinesis devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| Cinesi.3 | I flussi Kinesis devono avere un periodo di conservazione dei dati adeguato | AWS Best practice di sicurezza di base v1.0.0 | MEDIO | Attivate dalle modifiche | |
| KMS.1 | Le politiche gestite dai clienti IAM non dovrebbero consentire azioni di decrittografia su tutte le chiavi KMS | AWS Best Practices di sicurezza v1.0.0, Service Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
Attivate dalle modifiche |
| KMS.2 | I responsabili IAM non dovrebbero disporre di policy IAM in linea che consentano azioni di decrittografia su tutte le chiavi KMS | AWS Best Practices di sicurezza v1.0.0, Service Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
Attivate dalle modifiche |
| KMS.3 | AWS KMS keys non deve essere eliminato involontariamente | AWS Best Practices di sicurezza v1.0.0, Service Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | CRITICO | |
Attivate dalle modifiche |
| KMS.4 | AWS KMS key la rotazione dovrebbe essere abilitata | Benchmark CIS AWS Foundations versione 3.0.0, benchmark CIS Foundations versione 1.4.0, benchmark CIS AWS Foundations versione 1.2.0, NIST SP 800-53 Rev. 5, AWS PCI DSS versione 3.2.1, PCI DSS versione 4.0.1 | MEDIO | |
Periodic (Periodico) |
| KMS.5 | Le chiavi KMS non devono essere accessibili pubblicamente | AWS Best practice di sicurezza di base v1.0.0 | CRITICO | Attivate dalle modifiche | |
| Lambda.1 | Le politiche delle funzioni Lambda dovrebbero vietare l'accesso pubblico | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, Service Managed Standard: AWS Control Tower | CRITICO | |
Attivate dalle modifiche |
| Lambda.2 | Le funzioni Lambda devono utilizzare runtime supportati | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Service Managed Standard: AWS Control Tower | MEDIO | |
Attivate dalle modifiche |
| Lambda.3 | Le funzioni Lambda devono trovarsi in un VPC | PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | BASSO | |
Attivate dalle modifiche |
| Lambda.5 | Le funzioni VPC Lambda devono funzionare in più zone di disponibilità | AWS Best Practices di sicurezza v1.0.0, Service Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
Attivate dalle modifiche |
| Lambda.6 | Le funzioni Lambda devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| Macie.1 | Amazon Macie dovrebbe essere abilitato | AWS Best Practices di sicurezza v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Periodic (Periodico) |
| Macie.2 | Il rilevamento automatico dei dati sensibili di Macie dovrebbe essere abilitato | AWS Best Practices di sicurezza v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ELEVATO) | Periodic (Periodico) | |
| MSK.1 | I cluster MSK devono essere crittografati durante il transito tra i nodi del broker | AWS Le migliori pratiche di sicurezza v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
Attivate dalle modifiche |
| MSK.2 | I cluster MSK dovrebbero avere un monitoraggio avanzato configurato | NIST SP 800-53 Rev. 5 | BASSO | |
Attivate dalle modifiche |
| MSK.3 | I connettori MSK Connect devono essere crittografati in transito | AWS Best Practices di sicurezza v1.0.0, PCI DSS v4.0.1 | MEDIO | Attivate dalle modifiche | |
| MQ. 2 | I broker ActiveMQ devono trasmettere i log di controllo a CloudWatch | AWS Le migliori pratiche di sicurezza v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | Attivate dalle modifiche | |
| MQ. 3 | I broker Amazon MQ dovrebbero avere abilitato l'aggiornamento automatico delle versioni secondarie | AWS Le migliori pratiche di sicurezza v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | BASSO | Attivate dalle modifiche | |
| MQ.4 | I broker Amazon MQ devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| MQ.5 | I broker ActiveMQ devono utilizzare la modalità di implementazione attiva/in standby | NIST SP 800-53 Rev. 5, Standard di gestione dei servizi: AWS Control Tower | BASSO | |
Attivate dalle modifiche |
| MQ.6 | I broker RabbitMQ dovrebbero utilizzare la modalità di distribuzione cluster | NIST SP 800-53 Rev. 5, Standard di gestione dei servizi: AWS Control Tower | BASSO | |
Attivate dalle modifiche |
| Nettuno.1 | I cluster Neptune DB devono essere crittografati quando sono inattivi | AWS Best Practices di sicurezza v1.0.0, NIST SP 800-53 Rev. 5, Service Managed Standard: AWS Control Tower | MEDIO | |
Attivate dalle modifiche |
| Nettuno.2 | I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Service Managed Standard: AWS Control Tower | MEDIO | |
Attivate dalle modifiche |
| Nettuno.3 | Le istantanee del cluster Neptune DB non devono essere pubbliche | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Service Managed Standard: AWS Control Tower | CRITICO | |
Attivate dalle modifiche |
| Nettuno.4 | I cluster Neptune DB devono avere la protezione da eliminazione abilitata | AWS Best Practices di sicurezza v1.0.0, NIST SP 800-53 Rev. 5, Service Managed Standard: AWS Control Tower | BASSO | |
Attivate dalle modifiche |
| Nettuno.5 | I cluster Neptune DB devono avere i backup automatici abilitati | AWS Best Practices di sicurezza v1.0.0, NIST SP 800-53 Rev. 5, Service Managed Standard: AWS Control Tower | MEDIO | |
Attivate dalle modifiche |
| Nettuno.6 | Le istantanee del cluster Neptune DB devono essere crittografate a riposo | AWS Best Practices di sicurezza v1.0.0, NIST SP 800-53 Rev. 5, Service Managed Standard: AWS Control Tower | MEDIO | |
Attivate dalle modifiche |
| Nettuno.7 | I cluster Neptune DB devono avere l'autenticazione del database IAM abilitata | AWS Best Practices di sicurezza v1.0.0, NIST SP 800-53 Rev. 5, Service Managed Standard: AWS Control Tower | MEDIO | |
Attivate dalle modifiche |
| Nettuno.8 | I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee | AWS Best Practices di sicurezza v1.0.0, NIST SP 800-53 Rev. 5, Service Managed Standard: AWS Control Tower | BASSO | |
Attivate dalle modifiche |
| Nettuno.9 | I cluster Neptune DB devono essere distribuiti su più zone di disponibilità | NIST SP 800-53 Rev. 5 | MEDIO | |
Attivate dalle modifiche |
| NetworkFirewall1. | I firewall Network Firewall devono essere implementati su più zone di disponibilità | NIST SP 800-53 Rev. 5 | MEDIO | |
Attivate dalle modifiche |
| NetworkFirewall2. | La registrazione del Network Firewall deve essere abilitata | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MEDIO | |
Periodic (Periodico) |
| NetworkFirewall3. | Le policy del Network Firewall devono avere almeno un gruppo di regole associato | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower, NIST SP 800-171 Rev. 2 | MEDIO | |
Attivate dalle modifiche |
| NetworkFirewall4. | L'azione stateless predefinita per le policy di Network Firewall dovrebbe essere «drop or forward» per pacchetti completi. | AWS Best Practices di sicurezza v1.0.0, Service Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
Attivate dalle modifiche |
| NetworkFirewall5. | L'azione stateless predefinita per le policy di Network Firewall dovrebbe essere drop or forward per i pacchetti frammentati | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower, NIST SP 800-171 Rev. 2 | MEDIO | |
Attivate dalle modifiche |
| NetworkFirewall6. | Il gruppo di regole del firewall di rete stateless non deve essere vuoto | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower, NIST SP 800-171 Rev. 2 | MEDIO | |
Attivate dalle modifiche |
| NetworkFirewall7. | I firewall Network Firewall devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| NetworkFirewall8. | Le politiche firewall del Network Firewall devono essere contrassegnate | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| NetworkFirewall9. | I firewall Network Firewall devono avere la protezione da eliminazione abilitata | AWS Best Practices di sicurezza v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Attivate dalle modifiche |
| NetworkFirewall.10 | I firewall Network Firewall devono avere la protezione da cambio di sottorete abilitata | AWS Best Practices di sicurezza v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | Attivate dalle modifiche | |
| Opensearch.1 | OpenSearch i domini devono avere la crittografia a riposo abilitata | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, PCI DSS v3.2.1, NIST SP AWS Control Tower 800-53 Rev. 5 | MEDIO | |
Attivate dalle modifiche |
| Opensearch.2 | OpenSearch i domini non devono essere accessibili pubblicamente | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, PCI DSS v3.2.1, NIST SP AWS Control Tower 800-53 Rev. 5 | CRITICO | |
Attivate dalle modifiche |
| Opensearch.3 | OpenSearch i domini devono crittografare i dati inviati tra i nodi | AWS Best Practices di sicurezza di base v1.0.0, standard di gestione dei servizi: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
Attivate dalle modifiche |
| Opensearch.4 | OpenSearch la registrazione degli errori di dominio nei CloudWatch registri dovrebbe essere abilitata | AWS Best Practices di sicurezza di base v1.0.0, standard di gestione dei servizi: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
Attivate dalle modifiche |
| Opensearch.5 | OpenSearch i domini devono avere la registrazione di controllo abilitata | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Service Managed Standard: AWS Control Tower | MEDIO | |
Attivate dalle modifiche |
| Opensearch.6 | OpenSearch i domini devono avere almeno tre nodi di dati | AWS Best Practices di sicurezza di base v1.0.0, standard di gestione dei servizi: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
Attivate dalle modifiche |
| Opensearch.7 | OpenSearch i domini devono avere un controllo granulare degli accessi | AWS Best Practices di sicurezza di base v1.0.0, standard di gestione dei servizi: AWS Control Tower, NIST SP 800-53 Rev. 5 | HIGH (ELEVATO) | |
Attivate dalle modifiche |
| Opensearch.8 | Le connessioni ai OpenSearch domini devono essere crittografate utilizzando la politica di sicurezza TLS più recente | AWS Best Practices di sicurezza di base v1.0.0, standard di gestione dei servizi: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | Attivate dalle modifiche | |
| Ricerca aperta. 9 | OpenSearch i domini devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| Ricerca aperta. 10 | OpenSearch nei domini dovrebbe essere installato l'ultimo aggiornamento software | AWS Le migliori pratiche di sicurezza v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | BASSO | |
Attivate dalle modifiche |
| Ricerca aperta. 11 | OpenSearch i domini devono avere almeno tre nodi primari dedicati | NIST SP 800-53 Rev. 5 | BASSO | Periodic (Periodico) | |
| PCA.1 | AWS Private CA l'autorità di certificazione principale deve essere disabilitata | AWS Best Practices di sicurezza v1.0.0, NIST SP 800-53 Rev. 5 | BASSO | |
Periodic (Periodico) |
| PCA.2 | AWS Le autorità di certificazione CA private devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| RDS.1 | L'istantanea RDS deve essere privata | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, PCI DSS v3.2.1, NIST SP 800-53 AWS Control Tower Rev. 5 | CRITICO | |
Attivate dalle modifiche |
| RDS.2 | Le istanze DB RDS devono vietare l'accesso pubblico, come stabilito dalla configurazione PubliclyAccessible | CIS AWS Foundations Benchmark v3.0.0, AWS Foundational Security Best Practices v1.0.0, Service Managed Standard: AWS Control Tower, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | CRITICO | |
Attivate dalle modifiche |
| RDS.3 | Le istanze DB RDS devono avere la crittografia a riposo abilitata | CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, AWS AWS Foundational Security Best Practices v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
Attivate dalle modifiche |
| RDS.4 | Le istantanee del cluster RDS e le istantanee del database devono essere crittografate quando sono inattive | AWS Best Practices di sicurezza di base v1.0.0, standard di gestione dei servizi: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
Attivate dalle modifiche |
| RDS.5 | Le istanze DB RDS devono essere configurate con più zone di disponibilità | AWS Best Practices di sicurezza di base v1.0.0, standard di gestione dei servizi: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
Attivate dalle modifiche |
| RDS.6 | Il monitoraggio avanzato deve essere configurato per le istanze DB RDS | AWS Best Practices di sicurezza di base v1.0.0, standard di gestione dei servizi: AWS Control Tower, NIST SP 800-53 Rev. 5 | BASSO | |
Attivate dalle modifiche |
| RDS.7 | I cluster RDS devono avere la protezione da eliminazione abilitata | AWS Best Practices di sicurezza v1.0.0, NIST SP 800-53 Rev. 5 | BASSO | |
Attivate dalle modifiche |
| RDS.8 | Le istanze DB RDS devono avere la protezione da eliminazione abilitata | AWS Best Practices di sicurezza di base v1.0.0, standard di gestione dei servizi: AWS Control Tower, NIST SP 800-53 Rev. 5 | BASSO | |
Attivate dalle modifiche |
| RDS.9 | Le istanze DB RDS devono pubblicare i log in Logs CloudWatch | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Service Managed Standard: AWS Control Tower | MEDIO | |
Attivate dalle modifiche |
| RDS.10 | L'autenticazione IAM deve essere configurata per le istanze RDS | AWS Best Practices di sicurezza di base v1.0.0, standard di gestione dei servizi: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
Attivate dalle modifiche |
| RDS.11 | Le istanze RDS devono avere i backup automatici abilitati | AWS Best Practices di sicurezza di base v1.0.0, standard di gestione dei servizi: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
Attivate dalle modifiche |
| RDS.12 | L'autenticazione IAM deve essere configurata per i cluster RDS | AWS Best Practices di sicurezza v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Attivate dalle modifiche |
| RDS.13 | Gli aggiornamenti automatici delle versioni secondarie di RDS devono essere abilitati | CIS AWS Foundations Benchmark v3.0.0, AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Service Managed Standard: AWS Control Tower | HIGH (ELEVATO) | |
Attivate dalle modifiche |
| RDS.14 | I cluster Amazon Aurora dovrebbero avere il backtracking abilitato | AWS Best Practices di sicurezza v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Attivate dalle modifiche |
| RDS.15 | I cluster RDS DB devono essere configurati per più zone di disponibilità | AWS Best Practices di sicurezza v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Attivate dalle modifiche |
| RDS.16 | I cluster RDS DB devono essere configurati per copiare i tag nelle istantanee | AWS Best Practices di sicurezza v1.0.0, NIST SP 800-53 Rev. 5 | BASSO | |
Attivate dalle modifiche |
| RDS.17 | Le istanze DB RDS devono essere configurate per copiare i tag nelle istantanee | AWS Best Practices di sicurezza di base v1.0.0, standard di gestione dei servizi: AWS Control Tower, NIST SP 800-53 Rev. 5 | BASSO | |
Attivate dalle modifiche |
| RDS.18 | Le istanze RDS vanno implementate in un VPC | Standard gestito dai servizi: AWS Control Tower | HIGH (ELEVATO) | |
Attivate dalle modifiche |
| RDS.19 | Gli abbonamenti esistenti per la notifica degli eventi RDS devono essere configurati per gli eventi critici del cluster | AWS Best Practices di sicurezza di base v1.0.0, standard di gestione dei servizi: AWS Control Tower, NIST SP 800-53 Rev. 5 | BASSO | |
Attivate dalle modifiche |
| RDS.20 | Gli abbonamenti esistenti per la notifica degli eventi RDS devono essere configurati per gli eventi critici delle istanze di database | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Service Managed Standard: AWS Control Tower | BASSO | |
Attivate dalle modifiche |
| RDS.21 | È necessario configurare un abbonamento alle notifiche di eventi RDS per gli eventi critici del gruppo di parametri del database | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Service Managed Standard: AWS Control Tower | BASSO | |
Attivate dalle modifiche |
| RDS.22 | È necessario configurare un abbonamento alle notifiche di eventi RDS per gli eventi critici dei gruppi di sicurezza del database | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Service Managed Standard: AWS Control Tower | BASSO | |
Attivate dalle modifiche |
| RDS.23 | Le istanze RDS non devono utilizzare una porta predefinita del motore di database | AWS Best Practices di sicurezza di base v1.0.0, standard di gestione dei servizi: AWS Control Tower, NIST SP 800-53 Rev. 5 | BASSO | |
Attivate dalle modifiche |
| RDS.24 | I cluster di database RDS devono utilizzare un nome utente di amministratore personalizzato | AWS Le migliori pratiche di sicurezza v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
Attivate dalle modifiche |
| RDS.25 | Le istanze del database RDS devono utilizzare un nome utente di amministratore personalizzato | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Service Managed Standard: AWS Control Tower | MEDIO | |
Attivate dalle modifiche |
| RDS.26 | Le istanze database RDS vanno protette da un piano di backup | NIST SP 800-53 Rev. 5 | MEDIO | |
Periodic (Periodico) |
| RDS.27 | I cluster RDS DB devono essere crittografati quando sono inattivi | AWS Best Practices di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, Service Managed Standard: AWS Control Tower | MEDIO | |
Attivate dalle modifiche |
| RDS.28 | I cluster DB RDS devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| RDS.29 | Le snapshot dei cluster RDS devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| RDS.30 | Le istanze database RDS devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| RDS.31 | I gruppi di sicurezza RDS DB devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| RDS.32 | Le snapshot RDS DB devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| RDS.33 | I gruppi di sottoreti RDS DB devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| RDS.34 | I cluster Aurora MySQL DB devono pubblicare i log di controllo su Logs CloudWatch | AWS Le migliori pratiche di sicurezza v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
Attivate dalle modifiche |
| RDS.35 | Nei cluster RDS DB dovrebbe essere abilitato l'aggiornamento automatico delle versioni secondarie | AWS Le migliori pratiche di sicurezza v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
Attivate dalle modifiche |
| RDS.36 | Le istanze DB di RDS per PostgreSQL devono pubblicare i log in Logs CloudWatch | AWS Best Practices di sicurezza v1.0.0, PCI DSS v4.0.1 | MEDIO | Attivate dalle modifiche | |
| RDS.37 | I cluster Aurora PostgreSQL DB devono pubblicare i log in Logs CloudWatch | AWS Best Practices di sicurezza v1.0.0, PCI DSS v4.0.1 | MEDIO | Attivate dalle modifiche | |
| RDS.38 | Le istanze database RDS per PostgreSQL devono essere crittografate in transito | AWS Best practice di sicurezza di base v1.0.0 | MEDIO | Periodic (Periodico) | |
| RDS.39 | Le istanze DB RDS per MySQL devono essere crittografate in transito | AWS Best practice di sicurezza di base v1.0.0 | MEDIO | Periodic (Periodico) | |
| RDS.40 | Le istanze database di RDS per SQL Server devono pubblicare i log in Logs CloudWatch | AWS Best Practices di sicurezza v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | Attivate dalle modifiche | |
| RDS.41 | Le istanze database di RDS per SQL Server devono essere crittografate in transito | AWS Best practice di sicurezza di base v1.0.0 | MEDIO | Periodic (Periodico) | |
| RDS.42 | Le istanze RDS per MariaDB DB dovrebbero pubblicare i log su Logs CloudWatch | AWS Le migliori pratiche di sicurezza v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | Periodic (Periodico) | |
| RDS.44 | Le istanze database di RDS per MariaDB devono essere crittografate in transito | AWS Best practice di sicurezza di base v1.0.0 | MEDIO | Periodic (Periodico) | |
| Redshift.1 | I cluster Amazon Redshift dovrebbero vietare l'accesso pubblico | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, standard di gestione dei servizi: AWS Control Tower | CRITICO | |
Attivate dalle modifiche |
| Redshift.2 | Le connessioni ai cluster Amazon Redshift devono essere crittografate in transito | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Service Managed Standard: AWS Control Tower | MEDIO | |
Attivate dalle modifiche |
| Redshift.3 | I cluster Amazon Redshift devono avere le istantanee automatiche abilitate | AWS Le migliori pratiche di sicurezza v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Attivate dalle modifiche |
| Redshift.4 | I cluster Amazon Redshift devono avere la registrazione di controllo abilitata | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Service Managed Standard: AWS Control Tower | MEDIO | |
Attivate dalle modifiche |
| Redshift.6 | Amazon Redshift dovrebbe avere gli upgrade automatici alle versioni principali abilitati | AWS Best Practices di sicurezza di base v1.0.0, standard di gestione dei servizi: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
Attivate dalle modifiche |
| Redshift.7 | I cluster Redshift devono utilizzare un routing VPC avanzato | AWS Best Practices di sicurezza di base v1.0.0, standard di gestione dei servizi: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
Attivate dalle modifiche |
| Redshift.8 | I cluster Amazon Redshift non devono utilizzare il nome utente di amministratore predefinito | AWS Best Practices di sicurezza di base v1.0.0, standard di gestione dei servizi: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
Attivate dalle modifiche |
| Redshift.9 | I cluster Redshift non devono utilizzare il nome di database predefinito | AWS Best Practices di sicurezza di base v1.0.0, standard di gestione dei servizi: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
Attivate dalle modifiche |
| Redshift.10 | I cluster Redshift devono essere crittografati quando sono inattivi | AWS Best Practices di sicurezza di base v1.0.0, standard di gestione dei servizi: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
Attivate dalle modifiche |
| Redshift.11 | I cluster Redshift devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| Redshift 12 | Le notifiche di sottoscrizione agli eventi Redshift devono essere contrassegnate | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| Redshift 13 | Le istantanee del cluster Redshift devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| Redshift 14 | I gruppi di sottoreti dei cluster Redshift vanno etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| Redshift 15 | I gruppi di sicurezza Redshift dovrebbero consentire l'accesso alla porta del cluster solo da origini limitate | AWS Best Practices di sicurezza v1.0.0, PCI DSS v4.0.1 | HIGH (ELEVATO) | Periodic (Periodico) | |
| Redshift.16 | I gruppi di sottoreti del cluster Redshift devono avere sottoreti provenienti da più zone di disponibilità | NIST SP 800-53 Rev. 5 | MEDIO | Attivate dalle modifiche | |
| Redshift 17 | I gruppi di parametri del cluster Redshift devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| RedshiftServerless1. | I gruppi di lavoro serverless di Amazon Redshift devono utilizzare il routing VPC avanzato | AWS Best practice di sicurezza di base v1.0.0 | HIGH (ELEVATO) | Periodic (Periodico) | |
| RedshiftServerless2. | Le connessioni ai gruppi di lavoro Serverless di Redshift devono essere necessarie per utilizzare SSL. | AWS Best practice di sicurezza di base v1.0.0 | MEDIO | Periodic (Periodico) | |
| RedshiftServerless3. | I gruppi di lavoro Serverless di Redshift dovrebbero vietare l'accesso pubblico | AWS Best practice di sicurezza di base v1.0.0 | HIGH (ELEVATO) | Periodic (Periodico) | |
| RedshiftServerless4. | I namespace Serverless di Redshift devono essere crittografati con gestione del cliente AWS KMS keys | NIST SP 800-53 Rev. 5 | MEDIO | Periodic (Periodico) | |
| RedshiftServerless5. | I namespace Redshift Serverless non devono utilizzare il nome utente amministratore predefinito | AWS Best practice di sicurezza di base v1.0.0 | MEDIO | Periodic (Periodico) | |
| RedshiftServerless6. | I namespace Redshift Serverless devono esportare i log in Logs CloudWatch | AWS Best practice di sicurezza di base v1.0.0 | MEDIO | Periodic (Periodico) | |
| RedshiftServerless7. | I namespace Redshift Serverless non devono utilizzare il nome di database predefinito | AWS Le migliori pratiche di sicurezza v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | Periodic (Periodico) | |
| Percorso 53.1 | I controlli dell'integrità di Route 53 devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| Percorso 53.2 | Le zone ospitate pubbliche di Route 53 devono registrare le query DNS | AWS Le migliori pratiche di sicurezza v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
Attivate dalle modifiche |
| S3.1 | I bucket S3 per uso generico dovrebbero avere abilitate le impostazioni di blocco dell'accesso pubblico | CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, AWS AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, Service Managed Standard: AWS Control Tower | MEDIO | Periodic (Periodico) | |
| S3.2 | I bucket per uso generico di S3 devono bloccare l'accesso pubblico in lettura | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, PCI DSS v3.2.1, NIST SP 800-53 AWS Control Tower Rev. 5 | CRITICO | Modifica attivata e periodica | |
| S3.3 | I bucket per uso generico di S3 devono bloccare l'accesso pubblico in scrittura | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, PCI DSS v3.2.1, NIST SP 800-53 AWS Control Tower Rev. 5 | CRITICO | Modifica attivata e periodica | |
| S3.5 | I bucket per uso generico di S3 devono richiedere che vengano utilizzate SSL | CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, AWS AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1, Service Managed Standard: AWS Control Tower | MEDIO | Attivate dalle modifiche | |
| S3.6 | Le policy relative ai bucket per uso generico di S3 dovrebbero limitare l'accesso ad altri Account AWS | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower, NIST SP 800-171 Rev. 2 | HIGH (ELEVATO) | Attivate dalle modifiche | |
| S3.7 | I bucket per uso generico di S3 devono utilizzare la replica tra Regioni | PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | BASSO | Attivate dalle modifiche | |
| S3.8 | I bucket S3 per uso generico devono bloccare l'accesso pubblico | CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, AWS AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Service Managed Standard: AWS Control Tower | HIGH (ELEVATO) | Attivate dalle modifiche | |
| S3.9 | I bucket per uso generico di S3 devono avere la registrazione degli accessi al server abilitata | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1, Service Managed Standard: AWS Control Tower | MEDIO | Attivate dalle modifiche | |
| S3.10 | I bucket et | NIST SP 800-53 Rev. 5 | MEDIO | Attivate dalle modifiche | |
| S3.11 | I bucket per uso generico di S3 devono avere le notifiche degli eventi abilitate | NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MEDIO | Attivate dalle modifiche | |
| S3.12 | ACLs non deve essere utilizzato per gestire l'accesso degli utenti ai bucket generici S3 | AWS Best Practices di sicurezza di base v1.0.0, standard di gestione dei servizi: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | Attivate dalle modifiche | |
| S3.13 | I bucket per uso generico di S3 devono avere configurazioni del ciclo di vita | AWS Best Practices di sicurezza di base v1.0.0, standard di gestione dei servizi: AWS Control Tower, NIST SP 800-53 Rev. 5 | BASSO | Attivate dalle modifiche | |
| S3.14 | I bucket per uso generico di S3 devono avere il controllo delle versioni abilitato | NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | BASSO | Attivate dalle modifiche | |
| S3.15 | I bucket per uso generico di S3 devono avere Object Lock abilitato | NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | Attivate dalle modifiche | |
| S3.17 | I bucket S3 per uso generico dovrebbero essere crittografati con AWS KMS keys | NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1, standard di gestione dei servizi: AWS Control Tower | MEDIO | Attivate dalle modifiche | |
| S3.19 | I punti di accesso S3 devono avere le impostazioni di blocco dell'accesso pubblico | AWS Best Practices di sicurezza v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | CRITICO | Attivate dalle modifiche | |
| S3.20 | I bucket per uso generico di S3 deve avere la cancellazione MFA abilitata | Benchmark CIS AWS Foundations v3.0.0, benchmark CIS Foundations v1.4.0, NIST SP 800-53 Rev. 5 AWS | BASSO | Attivate dalle modifiche | |
| S3.22 | I bucket per uso generico di S3 devono registrare gli eventi di scrittura a livello di oggetto | Benchmark CIS AWS Foundations v3.0.0, PCI DSS v4.0.1 | MEDIO | Periodic (Periodico) | |
| S3.23 | I bucket per uso generico di S3 devono registrare gli eventi di lettura a livello di oggetto | Benchmark CIS AWS Foundations v3.0.0, PCI DSS v4.0.1 | MEDIO | Periodic (Periodico) | |
| S3.24 | I punti di accesso multi- | AWS Best Practices di sicurezza v1.0.0, PCI DSS v4.0.1 | HIGH (ELEVATO) | Attivate dalle modifiche | |
| SageMaker1. | Le istanze di SageMaker notebook Amazon non devono avere accesso diretto a Internet | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, Service Managed Standard: AWS Control Tower | HIGH (ELEVATO) | |
Periodic (Periodico) |
| SageMaker2. | SageMaker le istanze dei notebook devono essere avviate in un VPC personalizzato | AWS Best Practices di sicurezza di base v1.0.0, standard di gestione dei servizi: AWS Control Tower, NIST SP 800-53 Rev. 5 | HIGH (ELEVATO) | |
Attivate dalle modifiche |
| SageMaker3. | Gli utenti non devono avere accesso root alle istanze del SageMaker notebook | AWS Best Practices di sicurezza di base v1.0.0, standard di gestione dei servizi: AWS Control Tower, NIST SP 800-53 Rev. 5 | HIGH (ELEVATO) | |
Attivate dalle modifiche |
| SageMaker4. | SageMaker le varianti di produzione endpoint devono avere un numero iniziale di istanze maggiore di 1 | AWS Le migliori pratiche di sicurezza v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | Periodic (Periodico) | |
| SageMaker5. | SageMaker i modelli dovrebbero bloccare il traffico in entrata | AWS Best practice di sicurezza di base v1.0.0 | MEDIO | Attivate dalle modifiche | |
| SageMaker6. | SageMaker le configurazioni delle immagini delle app devono essere contrassegnate | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| SageMaker7. | SageMaker le immagini devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| SageMaker8. | SageMaker le istanze di notebook devono essere eseguite su piattaforme supportate | AWS Best practice di sicurezza di base v1.0.0 | MEDIO | Periodic (Periodico) | |
| SecretsManager1. | I segreti di Secrets Manager devono avere la rotazione automatica abilitata | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Service Managed Standard: AWS Control Tower | MEDIO | |
Attivate dalle modifiche |
| SecretsManager2. | I segreti di Secrets Manager configurati con rotazione automatica dovrebbero ruotare correttamente | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Service Managed Standard: AWS Control Tower | MEDIO | |
Attivate dalle modifiche |
| SecretsManager3. | Rimuovi i segreti Secrets Manager non utilizzati | AWS Best Practices di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, Service Managed Standard: AWS Control Tower | MEDIO | |
Periodic (Periodico) |
| SecretsManager4. | I segreti di Secrets Manager devono essere ruotati entro un determinato numero di giorni | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Service Managed Standard: AWS Control Tower | MEDIO | |
Periodic (Periodico) |
| SecretsManager5. | Segreti di Secrets Manager | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| ServiceCatalog1. | I portafogli Service Catalog devono essere condivisi solo all'interno di un' AWS organizzazione | AWS Le migliori pratiche di sicurezza v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ELEVATO) | Periodic (Periodico) | |
| VES.1 | Gli elenchi di contatti SES devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| SES.2 | I set di configurazione SES devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| SNS.1 | Gli argomenti SNS devono essere crittografati a riposo utilizzando AWS KMS | NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MEDIO | Attivate dalle modifiche | |
| SNS.3 | Gli argomenti SNS devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| SNS.4 | Le politiche di accesso agli argomenti di SNS non dovrebbero consentire l'accesso pubblico | AWS Best practice di sicurezza di base v1.0.0 | HIGH (ELEVATO) | Attivate dalle modifiche | |
| SQS.1 | Le code Amazon SQS devono essere crittografate quando sono inattive | AWS Best Practices di sicurezza di base v1.0.0, standard di gestione dei servizi: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
Attivate dalle modifiche |
| SQS.2 | Le code SQS devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| SQS.3 | Le politiche di accesso alla coda di SQS non dovrebbero consentire l'accesso pubblico | AWS Best practice di sicurezza di base v1.0.0 | HIGH (ELEVATO) | Attivate dalle modifiche | |
| SSM.1 | EC2 le istanze devono essere gestite da AWS Systems Manager | AWS Best practice di sicurezza di base v1.0.0, Service Managed Standard:, PCI DSS v3.2.1, NIST SP AWS Control Tower 800-53 Rev. 5 | MEDIO | |
Attivate dalle modifiche |
| SSM.2 | EC2 le istanze gestite da Systems Manager devono avere uno stato di conformità delle patch pari a COMPLIANT dopo l'installazione della patch | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1, Service Managed Standard: AWS Control Tower | HIGH (ELEVATO) | |
Attivate dalle modifiche |
| SSM.3 | EC2 le istanze gestite da Systems Manager devono avere uno stato di conformità dell'associazione pari a COMPLIANT | AWS Best practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, Service Managed Standard: AWS Control Tower | BASSO | |
Attivate dalle modifiche |
| SSM.4 | I documenti SSM non devono essere pubblici | AWS Best Practices di sicurezza di base v1.0.0, standard di gestione dei servizi: AWS Control Tower, NIST SP 800-53 Rev. 5 | CRITICO | |
Periodic (Periodico) |
| SSM.5 | I documenti SSM devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| StepFunctions1. | Le macchine a stati Step Functions dovrebbero avere la registrazione attivata | AWS Best Practices di sicurezza v1.0.0, PCI DSS v4.0.1 | MEDIO | |
Attivate dalle modifiche |
| StepFunctions2. | Le attività di Step Functions devono essere etichettate | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| Trasferimento.1 | I flussi di lavoro Transfer Family devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| Trasferimento.2 | I server Transfer Family non devono utilizzare il protocollo FTP per la connessione agli endpoint | AWS Best Practices di sicurezza v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | Periodic (Periodico) | |
| Trasferimento.3 | I connettori Transfer Family devono avere la registrazione abilitata | AWS Le migliori pratiche di sicurezza v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | Attivate dalle modifiche | |
| Trasferimento.4 | Gli accordi Transfer Family devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| Trasferimento.5 | I certificati Transfer Family devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| Trasferimento.6 | I connettori Transfer Family devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| Trasferimento.7 | I profili Transfer Family devono essere etichettati | AWS Standard di etichettatura delle risorse | BASSO | Attivate dalle modifiche | |
| WAF.1 | AWS La registrazione WAF Classic Global Web ACL deve essere abilitata | AWS Best Practices di sicurezza v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
Periodic (Periodico) |
| WAF.2 | AWS Le regole regionali di WAF Classic devono avere almeno una condizione | AWS Best Practices di sicurezza di base v1.0.0, standard di gestione dei servizi: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
Attivate dalle modifiche |
| WAF.3 | AWS I gruppi di regole regionali WAF Classic devono avere almeno una regola | AWS Best Practices di sicurezza di base v1.0.0, standard di gestione dei servizi: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
Attivate dalle modifiche |
| WAF.4 | AWS Il web regionale di WAF Classic ACLs dovrebbe avere almeno una regola o un gruppo di regole | AWS Best Practices di sicurezza di base v1.0.0, standard di gestione dei servizi: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
Attivate dalle modifiche |
| WAF.6 | AWS Le regole globali di WAF Classic devono avere almeno una condizione | AWS Le migliori pratiche di sicurezza v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Attivate dalle modifiche |
| WAF.7 | AWS I gruppi di regole globali di WAF Classic devono avere almeno una regola | AWS Le migliori pratiche di sicurezza v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Attivate dalle modifiche |
| WAF.8 | AWS Il web globale di WAF Classic ACLs dovrebbe avere almeno una regola o un gruppo di regole | AWS Le migliori pratiche di sicurezza v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Attivate dalle modifiche |
| WAF.10 | AWS Il web WAF ACLs dovrebbe avere almeno una regola o un gruppo di regole | AWS Best Practices di sicurezza di base v1.0.0, standard di gestione dei servizi: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
Attivate dalle modifiche |
| WAF.11 | AWS La registrazione WAF Web ACL deve essere abilitata | NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | BASSO | |
Periodic (Periodico) |
| WAF.12 | AWS Le regole WAF devono avere le metriche abilitate CloudWatch | AWS Buone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MEDIO | |
Attivate dalle modifiche |
| WorkSpaces1. | WorkSpaces i volumi utente devono essere crittografati quando sono inattivi | AWS Best practice di sicurezza di base v1.0.0 | MEDIO | Attivate dalle modifiche | |
| WorkSpaces2. | WorkSpaces i volumi root devono essere crittografati quando sono inattivi | AWS Best practice di sicurezza di base v1.0.0 | MEDIO | Attivate dalle modifiche |
