Migliori pratiche operative per NZISM 3.9 (Foundation)

I Conformance Pack forniscono un framework di conformità generico progettato per consentirti di creare controlli di governance di sicurezza, operativi o di ottimizzazione dei costi utilizzando regole gestite o personalizzate e azioni correttive. AWS Config AWS Config I pacchetti di conformità, in quanto modelli di esempio, non sono pensati per garantire la piena conformità a uno specifico standard di governance o conformità. È tua responsabilità valutare autonomamente se l'utilizzo dei Servizi soddisfa i requisiti legali e normativi applicabili.

Di seguito viene fornito un esempio di mappatura tra il Manuale sulla sicurezza delle informazioni (NZISM) 2025-11 versione 3.9 del Government Communications Security Bureau (GCSB) della Nuova Zelanda e le regole di Managed Config. AWS Ogni regola Config si applica a un tipo di AWS risorsa specifico e si riferisce a uno o più controlli NZISM. Un controllo NZISM può essere correlato a più regole Config. Consulta la tabella seguente per maggiori dettagli e indicazioni relativi a queste mappature. Nelle mappature sono inclusi solo i controlli che rappresentano la pratica consigliata o di base per le informazioni classificate come RESTRICTED e di seguito.

Questo modello di pacchetto di conformità di esempio contiene mappature ai controlli all'interno del framework NZISM, parte integrante del framework Protective Security Requirements (PSR) che definisce le aspettative del governo neozelandese relativamente alla gestione del personale, delle informazioni e della sicurezza fisica.

La parte Foundation di questo pacchetto di conformità può essere distribuita a Sydney e nelle regioni del mondo. La parte NZ Transition contiene il sottoinsieme di regole Foundation Config attualmente disponibili nella regione Nuova Zelanda. La parte relativa alla Fondazione non verrà attualmente distribuita nella regione della Nuova Zelanda. La parte Extension di questo pacchetto di conformità può essere implementata nelle regioni di Sydney e Nuova Zelanda per aumentare le regole di Config fornite nelle parti Foundation e NZ Transition.

Il NZISM è concesso in licenza con la licenza Creative Commons Attribution 4.0 Nuova Zelanda, disponibile all'indirizzo. https://creativecommons.org/licenses/by/4.0/ Per informazioni sul copyright, consulta NZISM New Zealand Information Security Manual | Legal, Privacy, and Copyright.

ID controllo	Descrizione del controllo	Regola AWS Config	Linee guida
1149	Sicurezza del software, ambienti operativi standard, sviluppo di SOE rinforzati (14.1.8. C.01.)	ec2-instance-managed-by-systems-manager	Un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione è possibile gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con AWS Systems Manager. Usa AWS Systems Manager per fornire configurazioni di sistema dettagliate, livelli di patch del sistema operativo, nome e tipo di servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sul tuo ambiente.
1149	Sicurezza del software, ambienti operativi standard, sviluppo di SOE rinforzati (14.1.8. C.01.)	ec2-managedinstance-association-compliance-status-check	Usa AWS Systems Manager Associations per semplificare l'inventario delle piattaforme e delle applicazioni software all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare linee di base per i livelli di patch del sistema operativo, le installazioni software, le configurazioni delle applicazioni e altri dettagli sull'ambiente.
1149	Sicurezza del software, ambienti operativi standard, sviluppo di SOE rinforzati (14.1.8. C.01.)	ecs-containers-nonprivileged	Questo controllo verifica se il parametro privilegiato nella definizione del contenitore di Amazon ECS Task Definitions è impostato su true. Il controllo fallisce se questo parametro è uguale a true. Questo controllo valuta solo l'ultima revisione attiva di una definizione di attività Amazon ECS. Ti consigliamo di rimuovere i privilegi elevati dalle definizioni delle attività ECS. Quando il parametro privilege è vero, al contenitore vengono assegnati privilegi elevati sull'istanza del contenitore host (simili all'utente root).
1149	Sicurezza del software, ambienti operativi standard, sviluppo di SOE rinforzati (14.1.8. C.01.)	ecs-containers-readonly-access	Questo controllo verifica se i contenitori Amazon ECS sono limitati all'accesso in sola lettura ai filesystem root montati. Questo controllo ha esito negativo se il ReadonlyRootFilesystem parametro nella definizione del contenitore delle definizioni delle attività di Amazon ECS è impostato su false. Questo controllo valuta solo l'ultima revisione attiva di una definizione di attività Amazon ECS. L'attivazione di questa opzione riduce i vettori di attacco alla sicurezza poiché il filesystem dell'istanza del contenitore non può essere manomesso o scritto su di esso a meno che l'istanza non disponga di autorizzazioni esplicite di lettura/scrittura sulla cartella e sulle directory del file system. Questo controllo aderisce anche al principio del privilegio minimo.
1154	Incidenti di sicurezza delle informazioni, rilevamento degli incidenti di sicurezza delle informazioni, prevenzione e rilevamento degli incidenti di sicurezza delle informazioni (7.1.7. C.02.)	abilitato per il monitoraggio del runtime di guardduty	Questo controllo verifica se il Runtime Monitoring è abilitato per Amazon GuardDuty nel tuo account o organizzazione. Runtime Monitoring osserva e analizza gli eventi a livello di sistema operativo, di rete e di file per aiutarti a rilevare potenziali minacce in specifici carichi di lavoro AWS nel tuo ambiente.
1661	Sicurezza del software, sviluppo di applicazioni Web, contenuto del sito Web dell'Agenzia (14.5.6. C.01.)	cloudfront-default-root-object-configured	Questo controllo verifica se una CloudFront distribuzione Amazon è configurata per restituire un oggetto specifico, ovvero l'oggetto root predefinito. Il controllo fallisce se nella CloudFront distribuzione non è configurato un oggetto root predefinito. A volte un utente può richiedere l'URL principale della distribuzione anziché un oggetto nella distribuzione. In tal caso, la specifica di un oggetto root predefinito può contribuire a evitare l'esposizione dei contenuti della distribuzione Web. Questa regola deve essere applicata nella regione us-east-1. Esegui la distribuzione con il parametro template DeployEdgeRules = true.
1667	Sicurezza del software, sviluppo di applicazioni Web, applicazioni Web (14.5.8. C.01.)	acm-certificate-expiration-check	Garantisci che l'integrità della rete sia protetta assicurando che i certificati X509 siano emessi da AWS ACM. Questi certificati devono essere validi e non scaduti. Questa regola richiede un valore per giorni. ToExpiration Il valore è 90 giorni.
1667	Sicurezza del software, sviluppo di applicazioni Web, applicazioni Web (14.5.8. C.01.)	elb-tls-https-listeners-only	Assicurati che Elastic Load Balancer (ELB) sia configurato con ascoltatori SSL o HTTPS. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati.
1841	Controllo degli accessi e password, identificazione, autenticazione e password, metodi per l'identificazione e l'autenticazione degli utenti del sistema (16.1.35. C.02.)	iam-user-mfa-enabled	Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS. Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti IAM. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti di account compromessi richiedendo l'autenticazione a più fattori per gli utenti IAM.
1841	Controllo degli accessi e password, identificazione, autenticazione e password, metodi per l'identificazione e l'autenticazione degli utenti del sistema (16.1.35. C.02.)	mfa-enabled-for-iam-console-access	Gestisci l'accesso alle risorse nel cloud AWS assicurando che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password di console. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Richiedendo l'autenticazione a più fattori per gli utenti IAM, puoi ridurre i casi di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
1841	Controllo degli accessi e password, identificazione, autenticazione e password, metodi per l'identificazione e l'autenticazione degli utenti del sistema (16.1.35. C.02.)	root-account-hardware-mfa-enabled	Gestisci l'accesso alle risorse nel cloud AWS assicurando che l'autenticazione hardware a più fattori (MFA) sia abilitata per l'utente root. L'utente root è l'utente con più privilegi in un account AWS. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo la MFA per l'utente root, puoi ridurre gli incidenti dovuti alla compromissione degli account AWS.
1841	Controllo degli accessi e password, identificazione, autenticazione e password, metodi per l'identificazione e l'autenticazione degli utenti del sistema (16.1.35. C.02.)	root-account-mfa-enabled	Gestisci l'accesso alle risorse nel cloud AWS assicurando che l'autenticazione a più fattori (MFA) sia abilitata per l'utente root. L'utente root è l'utente con più privilegi in un account AWS. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo la MFA per l'utente root, puoi ridurre gli incidenti dovuti alla compromissione degli account AWS.
1847	Controllo degli accessi e password, identificazione, autenticazione e password, protezione dei dati di autenticazione in transito (16.1.37. C.01.)	alb-http-to-https-controllo del reindirizzamento	Per proteggere i dati in transito, assicurati che l'Application Load Balancer reindirizzi automaticamente le richieste HTTP non crittografate verso HTTPS. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati.
1847	Controllo degli accessi e password, identificazione, autenticazione e password, protezione dei dati di autenticazione in transito (16.1.37. C.01.)	cloudfront-viewer-policy-https	Questo controllo verifica se una CloudFront distribuzione Amazon richiede agli spettatori di utilizzare direttamente HTTPS o se utilizza il reindirizzamento. Il controllo ha esito negativo se ViewerProtocolPolicy è impostato su allow-all per default CacheBehavior o per CacheBehaviors. Puoi utilizzare HTTPS (TLS) per impedire a potenziali aggressori di utilizzare attacchi di tipo person-in-the-middle o simili per intercettare o manipolare traffico di rete. Devono essere consentite solo le connessioni crittografate tramite HTTPS (TLS). Questa regola deve essere applicata nella regione us-east-1. Esegui la distribuzione con il parametro template = true. DeployEdgeRules
1847	Controllo degli accessi e password, identificazione, autenticazione e password, protezione dei dati di autenticazione in transito (16.1.37. C.01.)	elasticsearch-node-to-node-encryption-check	Questo controllo verifica se i domini Elasticsearch hanno la crittografia da nodo a nodo abilitata. Questo controllo ha esito negativo se la crittografia da nodo a nodo è disabilitata nel dominio. HTTPS (TLS) può essere utilizzato per impedire a potenziali aggressori di intercettare o manipolare il traffico di rete utilizzando attacchi person-in-the-middle o simili. Devono essere consentite solo le connessioni crittografate tramite HTTPS (TLS). L'abilitazione della crittografia da nodo a nodo per i domini Elasticsearch garantisce che le comunicazioni all'interno del cluster siano crittografate in transito.
1847	Controllo degli accessi e password, identificazione, autenticazione e password, protezione dei dati di autenticazione in transito (16.1.37. C.01.)	elb-tls-https-listeners-only	Assicurati che Elastic Load Balancer (ELB) sia configurato con ascoltatori SSL o HTTPS. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati.
1847	Controllo degli accessi e password, identificazione, autenticazione e password, protezione dei dati di autenticazione in transito (16.1.37. C.01.)	opensearch-node-to-node-encryption-check	Questo controllo verifica se nei OpenSearch domini è abilitata la crittografia da nodo a nodo. Questo controllo ha esito negativo se la crittografia da nodo a nodo è disabilitata nel dominio. HTTPS (TLS) può essere utilizzato per impedire a potenziali aggressori di intercettare o manipolare il traffico di rete utilizzando attacchi person-in-the-middle o simili. Devono essere consentite solo le connessioni crittografate tramite HTTPS (TLS). L'abilitazione della crittografia da nodo a nodo per i domini garantisce che le comunicazioni all'interno del cluster siano crittografate durante il transito. OpenSearch
1893	Controllo degli accessi e password, identificazione, autenticazione e password, sospensione dell'accesso (16.1.46. C.02.)	iam-user-unused-credentials-check	AWS Identity and Access Management (IAM) può aiutarti con i permessi e le autorizzazioni di accesso controllando le password e le chiavi di accesso IAM che non vengono utilizzate per un periodo di tempo specificato. Se vengono identificate queste credenziali non utilizzate, è necessario disabilitarne la and/or rimozione, poiché ciò potrebbe violare il principio del privilegio minimo. Questa regola imposta un massimo di 30 giorni. CredentialUsageAge
1946	Controllo degli accessi e password, accesso utente privilegiato, utilizzo di account privilegiati (16.3.5. C.02.)	iam-policy-no-statements-with-admin-access	AWS Identity and Access Management (IAM) può aiutarti a incorporare i principi del privilegio minimo e della separazione dei compiti con permessi e autorizzazioni di accesso, impedendo alle policy di contenere «Effetto»: «Allow» con «Action»: «» rispetto a «Resource»: «». Concedere agli utenti più privilegi del necessario per completare un'attività può violare il principio del privilegio minimo e della separazione dei compiti.
1946	Controllo degli accessi e password, accesso utente privilegiato, utilizzo di account privilegiati (16.3.5. C.02.)	iam-root-access-key-check	L'accesso a sistemi e asset può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al proprio ruolo AWS Identity and Access Management (IAM). Assicurati che le chiavi di accesso root vengano eliminate. Invece, crea e usa account AWS basati sui ruoli per contribuire a incorporare il principio della minima funzionalità.
1998	Controllo degli accessi e password, registrazione e verifica degli eventi, manutenzione dei registri di gestione del sistema (16.6.6. C.02.)	cloud-trail-cloud-watch-logs-enabled	È necessario eseguire la configurazione CloudTrail con CloudWatch Logs per monitorare i registri dei percorsi e ricevere notifiche quando si verificano attività specifiche. Questa regola verifica se i CloudTrail trail AWS sono configurati per inviare log ai log di Amazon CloudWatch .
1998	Controllo degli accessi e password, registrazione e verifica degli eventi, manutenzione dei registri di gestione del sistema (16.6.6. C.02.)	cloudtrail-enabled	AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di gestione AWS e le chiamate API. Puoi identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono disponibili all'interno di AWS CloudTrail Record Contents.
1998	Controllo degli accessi e password, registrazione e verifica degli eventi, manutenzione dei registri di gestione del sistema (16.6.6. C.02.)	cw-loggroup-retention-period-check	Assicurati che i dati dei log degli eventi vengano mantenuti per una durata minima per i gruppi di log in modo da agevolare la risoluzione dei problemi e le indagini forensi. La mancata disponibilità dei dati dei log degli eventi passati rende difficile la ricostruzione e l'identificazione di eventi potenzialmente dannosi. La conservazione minima è di 18 mesi.
2013	Controllo degli accessi e password, registrazione e verifica degli eventi, eventi aggiuntivi da registrare (16.6.10. C.02.)	api-gw-execution-logging-enabled	La registrazione di log di Gateway API mostra viste dettagliate degli utenti che hanno effettuato l'accesso all'API e del modo in cui hanno effettuato l'accesso. Queste informazioni offrono visibilità sulle attività degli utenti.
2013	Controllo degli accessi e password, registrazione e verifica degli eventi, eventi aggiuntivi da registrare (16.6.10. C.02.)	cloudfront-accesslogs-enabled	Questo controllo verifica se la registrazione degli accessi al server è abilitata sulle CloudFront distribuzioni. Il controllo fallisce se la registrazione degli accessi non è abilitata per una distribuzione. CloudFront i registri di accesso forniscono informazioni dettagliate su ogni richiesta utente ricevuta CloudFront . Ogni log contiene informazioni come la data e l'ora di ricezione della richiesta, l'indirizzo IP del visualizzatore che ha effettuato la richiesta, l'origine della richiesta e il numero di porta della richiesta del visualizzatore. Questi log sono utili per applicazioni quali audit di sicurezza e accesso e indagini forensi. Questa regola deve essere applicata nella regione us-east-1. Esegui la distribuzione con il parametro template = true DeployEdgeRules
2013	Controllo degli accessi e password, registrazione e verifica degli eventi, eventi aggiuntivi da registrare (16.6.10. C.02.)	cloudtrail-enabled	AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di gestione AWS e le chiamate API. Puoi identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono disponibili all'interno di AWS CloudTrail Record Contents.
2013	Controllo degli accessi e password, registrazione e verifica degli eventi, eventi aggiuntivi da registrare (16.6.10. C.02.)	elb-logging-enabled	L'attività di Elastic Load Balancing è un punto di comunicazione centrale all'interno di un ambiente. Assicurati che la registrazione di log di ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate a ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
2013	Controllo degli accessi e password, registrazione e verifica degli eventi, eventi aggiuntivi da registrare (16.6.10. C.02.)	rds-logging-enabled	Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, assicurati che la registrazione di Amazon Relational Database Service (RDS) sia abilitata. Con la registrazione di log di Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate.
2013	Controllo degli accessi e password, registrazione e verifica degli eventi, eventi aggiuntivi da registrare (16.6.10. C.02.)	wafv2-logging-enabled	Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, abilita la registrazione AWS WAF (V2) su ACL Web regionali e globali. La registrazione di AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log registrano l'ora in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, informazioni sulla richiesta e un'azione per la regola a cui ogni richiesta corrisponde.
2022	Controllo degli accessi e password, registrazione e controllo degli eventi, protezione dei registri degli eventi (16.6.12. C.01.)	cloud-trail-log-file-validation-enabled	Utilizza la convalida dei file di CloudTrail registro AWS per verificare l'integrità dei CloudTrail log. La convalida dei file di registro aiuta a determinare se un file di registro è stato modificato o eliminato o è rimasto invariato dopo la consegna. CloudTrail Questa funzionalità è creata utilizzando algoritmi standard del settore: SHA-256 per l'hashing e SHA-256 con RSA per la firma digitale. Ciò rende computazionalmente impossibile modificare, eliminare o falsificare i file di registro senza essere rilevati. CloudTrail
2022	Controllo degli accessi e password, registrazione e controllo degli eventi, protezione dei registri degli eventi (16.6.12. C.01.)	cloudwatch-log-group-encrypted	Per proteggere i dati sensibili archiviati, assicurati che la crittografia sia abilitata per i tuoi Amazon CloudWatch Log Groups.
2028	Controllo degli accessi e password, registrazione e controllo degli eventi, archivi dei registri degli eventi (16.6.13. C.01.)	cw-loggroup-retention-period-check	Assicurati che i dati dei log degli eventi vengano mantenuti per una durata minima per i gruppi di log in modo da agevolare la risoluzione dei problemi e le indagini forensi. La mancata disponibilità dei dati dei log degli eventi passati rende difficile la ricostruzione e l'identificazione di eventi potenzialmente dannosi. La conservazione minima è di 18 mesi.
2082	Crittografia, fondamenti crittografici, riduzione dei requisiti di archiviazione e trasferimento fisico (17.1.53. C.04.)	cloud-trail-encryption-enabled	Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi CloudTrail percorsi AWS.
2082	Crittografia, fondamenti crittografici, riduzione dei requisiti di archiviazione e trasferimento fisico (17.1.53. C.04.)	ec2-ebs-encryption-by-default	Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (EBS). Data la possibile presenza di dati sensibili a riposo in questi volumi, abilita la crittografia a riposo per proteggere tali dati.
2082	Crittografia, fondamenti crittografici, riduzione dei requisiti di archiviazione e trasferimento fisico (17.1.53. C.04.)	efs-encrypted-check	Data la possibile presenza di dati sensibili e per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per Amazon Elastic File System (EFS).
2082	Crittografia, fondamenti crittografici, riduzione dei requisiti di archiviazione e trasferimento fisico (17.1.53. C.04.)	elasticsearch-encrypted-at-rest	Questo controllo verifica se i domini Elasticsearch hanno la configurazione di crittografia a riposo abilitata. Il controllo non riesce se la crittografia dei dati inattivi non è abilitata. Per un ulteriore livello di sicurezza per i dati sensibili, è necessario configurare il dominio Elasticsearch Service in modo che venga crittografato quando è inattivo. Quando configuri la crittografia dei dati inattivi, Amazon Key Management Service (KMS) archivia e gestisce le tue chiavi di crittografia. Per eseguire la crittografia, AWS KMS utilizza l'algoritmo Advanced Encryption Standard con chiavi a 256 bit (). AES-256
2082	Crittografia, fondamenti crittografici, riduzione dei requisiti di archiviazione e trasferimento fisico (17.1.53. C.04.)	encrypted-volumes	Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi volumi Amazon Elastic Block Store (EBS).
2082	Crittografia, fondamenti crittografici, riduzione dei requisiti di archiviazione e trasferimento fisico (17.1.53. C.04.)	opensearch-encrypted-at-rest	Questo controllo verifica se nei OpenSearch domini è abilitata la configurazione di crittografia a riposo. Il controllo non riesce se la crittografia dei dati inattivi non è abilitata. Per un ulteriore livello di sicurezza per i dati sensibili, è necessario configurare il dominio di OpenSearch servizio in modo che venga crittografato quando non è attivo. Quando configuri la crittografia dei dati inattivi, Amazon Key Management Service (KMS) archivia e gestisce le tue chiavi di crittografia. Per eseguire la crittografia, AWS KMS utilizza l'algoritmo Advanced Encryption Standard con chiavi a 256 bit (). AES-256
2082	Crittografia, fondamenti crittografici, riduzione dei requisiti di archiviazione e trasferimento fisico (17.1.53. C.04.)	rds-snapshot-encrypted	Assicurati che la crittografia sia abilitata per le tue istantanee di Amazon Relational Database Service (RDS). Data la possibile presenza di dati sensibili a riposo, abilita la crittografia a riposo per proteggere tali dati.
2082	Crittografia, fondamenti crittografici, riduzione dei requisiti di archiviazione e trasferimento fisico (17.1.53. C.04.)	rds-storage-encrypted	Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per le tue istanze di Amazon Relational Database Service (RDS). Data la possibile presenza di dati sensibili a riposo nelle istanze Amazon RDS, abilita la crittografia a riposo per proteggere tali dati.
2082	Crittografia, fondamenti crittografici, riduzione dei requisiti di archiviazione e trasferimento fisico (17.1.53. C.04.)	s3-bucket-server-side-encryption-enabled	Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Data la possibile presenza di dati sensibili a riposo nei bucket Amazon S3, abilita la crittografia per proteggere tali dati.
2090	Crittografia, fondamenti crittografici, protezione delle informazioni e dei sistemi (17.1.55. C.02.)	alb-http-to-https-controllo del reindirizzamento	Per proteggere i dati in transito, assicurati che l'Application Load Balancer reindirizzi automaticamente le richieste HTTP non crittografate verso HTTPS. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati.
2090	Crittografia, fondamenti crittografici, protezione delle informazioni e dei sistemi (17.1.55. C.02.)	elb-tls-https-listeners-only	Assicurati che Elastic Load Balancer (ELB) sia configurato con ascoltatori SSL o HTTPS. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati.
2090	Crittografia, fondamenti crittografici, protezione delle informazioni e dei sistemi (17.1.55. C.02.)	redshift-require-tls-ssl	Assicurati che i tuoi cluster Amazon Redshift richiedano la TLS/SSL crittografia per connettersi ai client SQL. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati.
2598	Crittografia, Transport Layer Security, utilizzo di TLS (17.4.16. C.01.)	elb-custom-security-policy-ssl-check	Per proteggere i dati in transito, assicurati che i tuoi listener ElasticLoadBalancer SSL Classic utilizzino una politica di sicurezza personalizzata. Queste policy possono fornire diversi algoritmi crittografici ad alta resistenza per contribuire a garantire comunicazioni di rete crittografate tra i sistemi. Questa regola richiede l'impostazione di una policy di sicurezza personalizzata per gli ascoltatori SSL. La politica di sicurezza è: Protocol-TLSv1.2,. ECDHE-ECDSA-AES128-GCM-SHA256
2600	Crittografia, sicurezza del livello di trasporto, utilizzo di TLS (17.4.16. C.02.)	elb-custom-security-policy-ssl-check	Per proteggere i dati in transito, assicurati che i tuoi listener ElasticLoadBalancer SSL Classic utilizzino una politica di sicurezza personalizzata. Queste policy possono fornire diversi algoritmi crittografici ad alta resistenza per contribuire a garantire comunicazioni di rete crittografate tra i sistemi. Questa regola richiede l'impostazione di una policy di sicurezza personalizzata per gli ascoltatori SSL. La politica di sicurezza predefinita è: Protocol-TLSv1.2,. ECDHE-ECDSA-AES128-GCM-SHA256
2726	Crittografia, Secure Shell, Accesso remoto automatizzato (17.5.8. C.02.)	restricted-ssh	I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtraggio stateful del traffico di rete in ingresso e in uscita verso le risorse AWS. Non è consentito il traffico in ingresso (o remoto) a partire dalla versione 0.0.0. 0/0 la porta 22 sulle tue risorse ti aiuta a limitare l'accesso remoto.
3021	Crittografia, gestione delle chiavi, contenuti dei KMP (17.9.25. C.01.)	cmk-backing-key-rotation-enabled	Amazon Key Management Service (KMS) consente ai clienti di ruotare la chiave di supporto, che è materiale chiave archiviato in AWS KMS ed è legato all'ID chiave della chiave gestita dal cliente (CMK). È la chiave di supporto utilizzata per eseguire operazioni di crittografia, ad esempio la crittografia e la decrittografia. Al momento, la rotazione automatica delle chiavi conserva tutte le chiavi di supporto precedenti, in modo che la decrittografia di dati crittografati possa essere eseguita in modo trasparente. La rotazione delle chiavi di crittografia consente di ridurre l'impatto potenziale di una chiave compromessa perché i dati crittografati con una nuova chiave non sono accessibili con una chiave precedente che potrebbe essere stata esposta.
3205	Sicurezza della rete, gestione della rete, limitazione dell'accesso alla rete (18.1.13. C.02.)	vpc-sg-open-only-to-authorized-ports	Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0. 0/0) l'accesso remoto può essere controllato ai sistemi interni. L'elenco delle porte Internet autorizzate è: solo 443
3449	Sicurezza del prodotto, applicazione di patch e aggiornamento del prodotto, correzione delle vulnerabilità nei prodotti (12.4.4. C.02.)	ec2-managedinstance-patch-compliance-status-check	Abilita la regola per facilitare l'identificazione e la documentazione delle vulnerabilità di Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se le istanze Amazon EC2 sono conformi alle patch in AWS Systems Manager, come richiesto dalle politiche e dalle procedure dell'organizzazione.
3449	Sicurezza del prodotto, applicazione di patch e aggiornamento dei prodotti, vulnerabilità di applicazione di patch nei prodotti (12.4.4. C.02.)	ecr-private-image-scanning-enabled	Questo controllo verifica se in un repository privato Amazon Elastic Container Registry (ECR) è configurata la scansione delle immagini. Questo controllo ha esito negativo se in un repository ECR privato non è configurata la scansione delle immagini. Tieni presente che devi anche configurare scan on push per ogni repository per passare questo controllo. La scansione delle immagini ECR aiuta a identificare le vulnerabilità del software nelle immagini dei container. ECR utilizza il database Common Vulnerabilities and Exposures (CVeS) del progetto open source Clair e fornisce un elenco dei risultati della scansione. L'abilitazione della scansione delle immagini sui repository ECR aggiunge un livello di verifica dell'integrità e della sicurezza delle immagini archiviate.
3449	Sicurezza del prodotto, applicazione di patch e aggiornamento dei prodotti, applicazione di patch alle vulnerabilità nei prodotti (12.4.4. C.02.)	redshift-cluster-maintenancesettings-check	Questa regola garantisce che i cluster Amazon Redshift abbiano le impostazioni preferite per la tua organizzazione. In particolare, hanno finestre di manutenzione preferite e periodi di conservazione automatica degli snapshot per il database. Questo set di regole consente VersionUpgrade a true.
3451	Sicurezza del prodotto, applicazione di patch e aggiornamento del prodotto, applicazione di patch alle vulnerabilità nei prodotti (12.4.4. C.04.)	ec2-managedinstance-patch-compliance-status-check	Abilita la regola per facilitare l'identificazione e la documentazione delle vulnerabilità di Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se le istanze Amazon EC2 sono conformi alle patch in AWS Systems Manager, come richiesto dalle politiche e dalle procedure dell'organizzazione.
3452	Sicurezza del prodotto, applicazione di patch e aggiornamento dei prodotti, vulnerabilità di applicazione di patch nei prodotti (12.4.4. C.05.)	ec2-managedinstance-patch-compliance-status-check	Abilita la regola per facilitare l'identificazione e la documentazione delle vulnerabilità di Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se le istanze Amazon EC2 sono conformi alle patch in AWS Systems Manager, come richiesto dalle politiche e dalle procedure dell'organizzazione.
3452	Sicurezza del prodotto, applicazione di patch e aggiornamento dei prodotti, vulnerabilità di applicazione di patch nei prodotti (12.4.4. C.05.)	elastic-beanstalk-managed-updates-enabled	Questo controllo verifica se gli aggiornamenti della piattaforma gestita sono abilitati per l'ambiente Elastic Beanstalk. L'abilitazione degli aggiornamenti gestiti della piattaforma garantisce l'installazione delle correzioni, degli aggiornamenti e delle funzionalità più recenti disponibili per l'ambiente. Mantenersi aggiornati sull'installazione delle patch è un passaggio importante per proteggere i sistemi.
3452	Sicurezza del prodotto, applicazione di patch e aggiornamento dei prodotti, correzione delle vulnerabilità nei prodotti (12.4.4. C.05.)	rds-automatic-minor-version-upgrade-enabled	Questo controllo verifica se gli aggiornamenti automatici delle versioni secondarie sono abilitati per l'istanza del database Amazon Relational Database Service (RDS). L'abilitazione degli aggiornamenti automatici delle versioni secondarie garantisce l'installazione degli ultimi aggiornamenti delle versioni secondarie del sistema di gestione dei database relazionali (RDBMS). Questi aggiornamenti potrebbero includere patch di sicurezza e correzioni di bug. Mantenersi aggiornati sull'installazione delle patch è un passaggio importante per proteggere i sistemi.
3453	Sicurezza del prodotto, applicazione di patch e aggiornamento dei prodotti, correzione delle vulnerabilità nei prodotti (12.4.4. C.06.)	ec2-managedinstance-patch-compliance-status-check	Abilita la regola per facilitare l'identificazione e la documentazione delle vulnerabilità di Amazon Elastic Compute Cloud (Amazon EC2). La regola verifica se le istanze Amazon EC2 sono conformi alle patch in AWS Systems Manager, come richiesto dalle politiche e dalle procedure dell'organizzazione.
3453	Sicurezza del prodotto, applicazione di patch e aggiornamento dei prodotti, vulnerabilità di applicazione di patch nei prodotti (12.4.4. C.06.)	redshift-cluster-maintenancesettings-check	Questa regola garantisce che i cluster Amazon Redshift abbiano le impostazioni preferite per la tua organizzazione. In particolare, hanno finestre di manutenzione preferite e periodi di conservazione automatica degli snapshot per il database. Questo set di regole consente VersionUpgrade a true.
3562	Sicurezza dei gateway, gateway, configurazione dei gateway (19.1.12. C.01.)	cloudfront-associated-with-waf	Questo controllo verifica se CloudFront le distribuzioni sono associate agli ACL web AWS WAF o AWS WAFv2. Il controllo fallisce se la distribuzione non è associata a un ACL web. AWS WAF è un firewall per applicazioni Web che consente di proteggere le applicazioni Web e le API dagli attacchi. Consente di configurare un set di regole denominato lista di controllo degli accessi Web (ACL web) per consentire, bloccare o contare le richieste Web in base a condizioni e regole di sicurezza Web personalizzabili definite dall'utente. Assicurati che la tua CloudFront distribuzione sia associata a un ACL web AWS WAF per proteggerla da attacchi dannosi. Questa regola deve essere applicata nella regione us-east-1. Esegui la distribuzione con template parameter DeployEdgeRules = true.
3562	Sicurezza dei gateway, gateway, configurazione dei gateway (19.1.12. C.01.)	dms-replication-not-public	Gestisci l'accesso al cloud AWS assicurando che le istanze di replica di AWS Database Migration Service (DMS) non siano accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
3562	Sicurezza dei gateway, gateway, configurazione dei gateway (19.1.12. C.01.)	ec2-imdsv2-check	Assicurati che il metodo del servizio di metadati di istanza versione 2 (IMDSv2) sia abilitato per proteggere l'accesso e il controllo dei metadati delle istanze Amazon Elastic Compute Cloud (Amazon EC2). Il metodo IMDSv2 utilizza controlli basati sulla sessione. Con IMDSv2, puoi implementare controlli per limitare le modifiche ai metadati delle istanze.
3562	Sicurezza dei gateway, gateway, configurazione dei gateway (19.1.12. C.01.)	ec2-instance-no-public-ip	Gestisci l'accesso al cloud AWS assicurando che le istanze Amazon Elastic Compute Cloud (Amazon EC2) non siano accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
3562	Sicurezza dei gateway, gateway, configurazione dei gateway (19.1.12. C.01.)	ec2-instances-in-vpc	Implementa istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per consentire comunicazioni sicure tra un'istanza e altri servizi all'interno di Amazon VPC, senza richiedere un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso.
3562	Sicurezza dei gateway, gateway, configurazione dei gateway (19.1.12. C.01.)	elasticsearch-in-vpc-only	Questo controllo verifica se i domini Elasticsearch si trovano in un cloud privato virtuale (VPC). Non valuta la configurazione del routing della sottorete VPC per determinare l'accesso pubblico. È necessario assicurarsi che i domini Elasticsearch non siano collegati a sottoreti pubbliche. I domini Elasticsearch distribuiti all'interno di un VPC possono comunicare con le risorse VPC sulla rete AWS privata, senza la necessità di attraversare la rete Internet pubblica. Questa configurazione aumenta il livello di sicurezza limitando l'accesso ai dati in transito. I VPC forniscono una serie di controlli di rete per proteggere l'accesso ai domini Elasticsearch, inclusi l'ACL di rete e i gruppi di sicurezza
3562	Sicurezza dei gateway, gateway, configurazione dei gateway (19.1.12. C.01.)	emr-master-no-public-ip	Gestisci l'accesso al cloud AWS assicurando che i nodi master del cluster Amazon Elastic MapReduce (EMR) non siano accessibili pubblicamente. I nodi principali del cluster Amazon EMR possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
3562	Sicurezza dei gateway, gateway, configurazione dei gateway (19.1.12. C.01.)	guardduty-enabled-centralized	Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e machine learning per identificare attività impreviste, non autorizzate e dannose all'interno del tuo ambiente cloud AWS.
3562	Sicurezza dei gateway, gateway, configurazione dei gateway (19.1.12. C.01.)	lambda-function-public-access-prohibited	Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni di AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può comportare una riduzione della disponibilità delle risorse.
3562	Sicurezza dei gateway, gateway, configurazione dei gateway (19.1.12. C.01.)	opensearch-in-vpc-only	Questo controllo verifica se i OpenSearch domini si trovano in un cloud privato virtuale (VPC). Non valuta la configurazione del routing della sottorete VPC per determinare l'accesso pubblico. È necessario assicurarsi che i OpenSearch domini non siano collegati a sottoreti pubbliche. OpenSearch i domini distribuiti all'interno di un VPC possono comunicare con le risorse VPC sulla rete AWS privata, senza la necessità di attraversare la rete Internet pubblica. Questa configurazione aumenta il livello di sicurezza limitando l'accesso ai dati in transito. I VPC forniscono una serie di controlli di rete per proteggere l'accesso ai OpenSearch domini, inclusi l'ACL di rete e i gruppi di sicurezza.
3562	Sicurezza dei gateway, gateway, configurazione dei gateway (19.1.12. C.01.)	rds-instance-public-access-check	Gestisci l'accesso alle risorse nel cloud AWS assicurandoti che le istanze di Amazon Relational Database Service (RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi.
3562	Sicurezza dei gateway, gateway, configurazione dei gateway (19.1.12. C.01.)	redshift-cluster-public-access-check	Gestisci l'accesso alle risorse nel cloud AWS assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi.
3562	Sicurezza dei gateway, gateway, configurazione dei gateway (19.1.12. C.01.)	s3-account-level-public-access-blocks-periodic	Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola imposta ignore PublicAcls su True, block PublicPolicy su True, block PublicAcls su True e limit PublicBuckets su True.
3562	Sicurezza dei gateway, gateway, configurazione dei gateway (19.1.12. C.01.)	sagemaker-notebook-no-direct-internet-access	Gestisci l'accesso alle risorse nel cloud AWS assicurandoti che SageMaker i notebook Amazon non consentano l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, puoi impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
3562	Sicurezza dei gateway, gateway, configurazione dei gateway (19.1.12. C.01.)	vpc-default-security-group-closed	I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtraggio stateful del traffico di rete in ingresso e in uscita verso le risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS.
3562	Sicurezza dei gateway, gateway, configurazione dei gateway (19.1.12. C.01.)	vpc-flow-logs-enabled	I log di flusso del cloud privato virtuale (VPC) forniscono record dettagliati per informazioni sul traffico IP in entrata e in uscita dalle interfacce di rete nel tuo Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo.
3623	Sicurezza dei gateway, gateway, zone demilitarizzate (19.1.14. C.02.)	elasticsearch-in-vpc-only	Questo controllo verifica se i domini Elasticsearch si trovano in un cloud privato virtuale (VPC). Non valuta la configurazione del routing della sottorete VPC per determinare l'accesso pubblico. È necessario assicurarsi che i domini Elasticsearch non siano collegati a sottoreti pubbliche. I domini Elasticsearch distribuiti all'interno di un VPC possono comunicare con le risorse VPC sulla rete AWS privata, senza la necessità di attraversare la rete Internet pubblica. Questa configurazione aumenta il livello di sicurezza limitando l'accesso ai dati in transito. I VPC forniscono una serie di controlli di rete per proteggere l'accesso ai domini Elasticsearch, inclusi ACL di rete e gruppi di sicurezza.
3623	Sicurezza dei gateway, gateway, zone demilitarizzate (19.1.14. C.02.)	opensearch-in-vpc-only	Questo controllo verifica se i OpenSearch domini si trovano in un cloud privato virtuale (VPC). Non valuta la configurazione del routing della sottorete VPC per determinare l'accesso pubblico. È necessario assicurarsi che i OpenSearch domini non siano collegati a sottoreti pubbliche. OpenSearch i domini distribuiti all'interno di un VPC possono comunicare con le risorse VPC sulla rete AWS privata, senza la necessità di attraversare la rete Internet pubblica. Questa configurazione aumenta il livello di sicurezza limitando l'accesso ai dati in transito. I VPC forniscono una serie di controlli di rete per proteggere l'accesso ai OpenSearch domini, inclusi l'ACL di rete e i gruppi di sicurezza.
3623	Sicurezza dei gateway, gateway, zone demilitarizzate (19.1.14. C.02.)	rds-instance-public-access-check	Gestisci l'accesso alle risorse nel cloud AWS assicurandoti che le istanze di Amazon Relational Database Service (RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi.
3623	Sicurezza dei gateway, gateway, zone demilitarizzate (19.1.14. C.02.)	redshift-cluster-public-access-check	Gestisci l'accesso alle risorse nel cloud AWS assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi.
3815	Sicurezza della rete, rilevamento e prevenzione delle intrusioni, IDS/IPS manutenzione (18.4.9. C.01.)	guardduty-enabled-centralized	Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e machine learning per identificare attività impreviste, non autorizzate e dannose all'interno del tuo ambiente cloud AWS.
3857	Sicurezza della rete, rilevamento e prevenzione delle intrusioni, configurazione di (18.4.11. IDS/IPS C.01.)	abilitato al controllo di protezione guardduty-eks	Questo controllo verifica se GuardDuty EKS Audit Log Monitoring è abilitato. GuardDuty EKS Audit Log Monitoring ti aiuta a rilevare attività potenzialmente sospette nei cluster Amazon Elastic Kubernetes Service (Amazon EKS). Il monitoraggio dei log di audit EKS utilizza i log di audit di Kubernetes per acquisire le attività cronologiche degli utenti, delle applicazioni che utilizzano l'API Kubernetes e il piano di controllo (control-plane).
3857	Sicurezza della rete, rilevamento e prevenzione delle intrusioni, configurazione di (18.4.11. IDS/IPS C.01.)	abilitato per guardduty-eks-protection-runtime	Questo controllo verifica se GuardDuty EKS Runtime Monitoring con gestione automatizzata degli agenti è abilitato. EKS Protection in Amazon GuardDuty fornisce una copertura per il rilevamento delle minacce per aiutarti a proteggere i cluster Amazon EKS all'interno del tuo ambiente AWS. EKS Runtime Monitoring utilizza eventi a livello di sistema operativo per aiutarti a rilevare potenziali minacce nei nodi e nei contenitori EKS all'interno dei cluster EKS.
3857	Sicurezza della rete, rilevamento e prevenzione delle intrusioni, configurazione di (18.4.11. IDS/IPS C.01.)	abilitato alla protezione lambda guardduty	Questo controllo verifica se la protezione GuardDuty Lambda è abilitata. GuardDuty Lambda Protection ti aiuta a identificare potenziali minacce alla sicurezza quando viene richiamata una funzione AWS Lambda. Dopo aver abilitato Lambda Protection, GuardDuty inizia a monitorare i log delle attività di rete Lambda associati alle funzioni Lambda nel tuo account AWS. Quando viene richiamata una funzione Lambda e GuardDuty identifica traffico di rete sospetto che indica la presenza di un codice potenzialmente dannoso nella funzione Lambda, genera un risultato. GuardDuty
3857	Sicurezza della rete, rilevamento e prevenzione delle intrusioni, configurazione di (18.4.11. IDS/IPS C.01.)	abilitato alla protezione guardduty-s3	Questo controllo verifica se GuardDuty S3 Protection è abilitato. S3 Protection consente di monitorare le operazioni API GuardDuty a livello di oggetto per identificare potenziali rischi di sicurezza per i dati all'interno dei bucket Amazon S3. GuardDuty monitora le minacce contro le tue risorse S3 analizzando gli eventi di gestione CloudTrail AWS CloudTrail e gli eventi relativi ai dati S3.
3875	Sicurezza di rete, rilevamento e prevenzione delle intrusioni, gestione degli eventi e correlazione (18.4.12. C.01.)	guardduty-enabled-centralized	Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e machine learning per identificare attività impreviste, non autorizzate e dannose all'interno del tuo ambiente cloud AWS.
3875	Sicurezza di rete, rilevamento e prevenzione delle intrusioni, gestione degli eventi e correlazione (18.4.12. C.01.)	securityhub-enabled	AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
4441	Gestione dei dati, database, file di database (20.4.4. C.02.)	elasticsearch-encrypted-at-rest	Questo controllo verifica se i domini Elasticsearch hanno la configurazione di crittografia a riposo abilitata. Il controllo non riesce se la crittografia dei dati inattivi non è abilitata. Per un ulteriore livello di sicurezza per i dati sensibili, è necessario configurare il dominio Elasticsearch Service in modo che venga crittografato quando è inattivo. Quando configuri la crittografia dei dati inattivi, Amazon Key Management Service (KMS) archivia e gestisce le tue chiavi di crittografia. Per eseguire la crittografia, AWS KMS utilizza l'algoritmo Advanced Encryption Standard con chiavi a 256 bit (). AES-256
4441	Gestione dei dati, database, file di database (20.4.4. C.02.)	opensearch-encrypted-at-rest	Questo controllo verifica se nei OpenSearch domini è abilitata la configurazione di crittografia a riposo. Il controllo non riesce se la crittografia dei dati inattivi non è abilitata. Per un ulteriore livello di sicurezza per i dati sensibili, è necessario configurare il dominio di OpenSearch servizio in modo che venga crittografato quando non è attivo. Quando configuri la crittografia dei dati inattivi, Amazon Key Management Service (KMS) archivia e gestisce le tue chiavi di crittografia. Per eseguire la crittografia, AWS KMS utilizza l'algoritmo Advanced Encryption Standard con chiavi a 256 bit (). AES-256
4441	Gestione dei dati, database, file di database (20.4.4. C.02.)	rds-logging-enabled	Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, assicurati che la registrazione di Amazon Relational Database Service (RDS) sia abilitata. Con la registrazione di log di Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate.
4441	Gestione dei dati, database, file di database (20.4.4. C.02.)	rds-snapshot-encrypted	Assicurati che la crittografia sia abilitata per le tue istantanee di Amazon Relational Database Service (RDS). Data la possibile presenza di dati sensibili a riposo, abilita la crittografia a riposo per proteggere tali dati.
4441	Gestione dei dati, database, file di database (20.4.4. C.02.)	rds-snapshots-public-prohibited	Gestisci l'accesso alle risorse nel cloud AWS assicurandoti che le istanze di Amazon Relational Database Service (RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi.
4441	Gestione dei dati, database, file di database (20.4.4. C.02.)	rds-storage-encrypted	Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per le tue istanze di Amazon Relational Database Service (RDS). Data la possibile presenza di dati sensibili a riposo nelle istanze Amazon RDS, abilita la crittografia a riposo per proteggere tali dati.
4441	Gestione dei dati, database, file di database (20.4.4. C.02.)	redshift-cluster-configuration-check	Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola imposta cluster DbEncrypted su true e loggingEnabled su true.
4445	Gestione dei dati, database, responsabilità (20.4.5. C.02.)	rds-logging-enabled	Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, assicurati che la registrazione di Amazon Relational Database Service (RDS) sia abilitata. Con la registrazione di log di Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate.
4445	Gestione dei dati, database, responsabilità (20.4.5. C.02.)	redshift-cluster-configuration-check	Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola imposta cluster DbEncrypted su true e loggingEnabled su true.
4829	Sicurezza dei sistemi aziendali, cloud computing, disponibilità del sistema (22.1.23. C.01.)	dynamodb-autoscaling-enabled	La scalabilità automatica di Amazon DynamoDB utilizza il servizio AWS Application Auto Scaling per regolare la capacità di throughput assegnata che risponde automaticamente ai modelli di traffico effettivi. Ciò consente a una tabella o a un indice secondario globale di aumentare la read/write capacità assegnata per gestire aumenti improvvisi del traffico, senza limitazioni.
4829	Sicurezza dei sistemi aziendali, cloud computing, disponibilità del sistema (22.1.23. C.01.)	elb-cross-zone-load-balancing-enabled	Abilita il bilanciamento del carico tra zone per gli Elastic Load Balancer (ELB) per mantenere capacità e disponibilità adeguate. Il bilanciamento del carico tra zone riduce la necessità di mantenere un numero equivalente di istanze in ogni zona di disponibilità abilitata. Inoltre, migliora le capacità della tua applicazione di gestire la perdita di una o più istanze.
4838	Sicurezza dei sistemi aziendali, cloud computing, accesso non autorizzato (22.1.24. C.03.)	cloudtrail-s3-dataevents-enabled	La raccolta di eventi di dati di Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono le informazioni sull'account AWS che ha effettuato l'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento.
4838	Sicurezza dei sistemi aziendali, cloud computing, accesso non autorizzato (22.1.24. C.03.)	ebs-snapshot-public-restorable-check	Gestisci l'accesso al cloud AWS assicurando che le snapshot di Amazon Elastic Block Store (EBS) non siano ripristinabili pubblicamente. Gli snapshot dei volumi EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
4838	Sicurezza dei sistemi aziendali, cloud computing, accesso non autorizzato (22.1.24. C.03.)	s3-account-level-public-access-blocks-periodic	Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola imposta ignore PublicAcls su True, block PublicPolicy su True, block PublicAcls su True e limit PublicBuckets su True.
4838	Sicurezza dei sistemi aziendali, cloud computing, accesso non autorizzato (22.1.24. C.03.)	s3-bucket-public-read-prohibited	Gestisci l'accesso alle risorse nel cloud AWS permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati.
4838	Sicurezza dei sistemi aziendali, cloud computing, accesso non autorizzato (22.1.24. C.03.)	s3-bucket-public-write-prohibited	Gestisci l'accesso alle risorse nel cloud AWS permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati.
4839	Sicurezza dei sistemi aziendali, cloud computing, accesso non autorizzato (22.1.24. C.04.)	dynamodb-table-encrypted-kms	Assicurati che la crittografia sia abilitata per le tabelle Amazon DynamoDB. Data la possibile presenza di dati sensibili a riposo in queste tabelle, abilita la crittografia a riposo per proteggere tali dati. Per impostazione predefinita, le tabelle DynamoDB sono crittografate con una chiave Key Management Service (KMS) di proprietà di AWS.
4839	Sicurezza dei sistemi aziendali, cloud computing, accesso non autorizzato (22.1.24. C.04.)	efs-encrypted-check	Data la possibile presenza di dati sensibili e per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per Amazon Elastic File System (EFS).
4839	Sicurezza dei sistemi aziendali, cloud computing, accesso non autorizzato (22.1.24. C.04.)	elasticsearch-encrypted-at-rest	Questo controllo verifica se i domini Elasticsearch hanno la configurazione di crittografia a riposo abilitata. Il controllo non riesce se la crittografia dei dati inattivi non è abilitata. Per un ulteriore livello di sicurezza per i dati sensibili, è necessario configurare il dominio Elasticsearch Service in modo che venga crittografato quando è inattivo. Quando configuri la crittografia dei dati inattivi, Amazon Key Management Service (KMS) archivia e gestisce le tue chiavi di crittografia. Per eseguire la crittografia, AWS KMS utilizza l'algoritmo Advanced Encryption Standard con chiavi a 256 bit (). AES-256
4839	Sicurezza dei sistemi aziendali, cloud computing, accesso non autorizzato (22.1.24. C.04.)	elasticsearch-node-to-node-encryption-check	Questo controllo verifica se i domini Elasticsearch hanno la crittografia da nodo a nodo abilitata. Questo controllo ha esito negativo se la crittografia da nodo a nodo è disabilitata nel dominio. HTTPS (TLS) può essere utilizzato per impedire a potenziali aggressori di intercettare o manipolare il traffico di rete utilizzando attacchi person-in-the-middle o simili. Devono essere consentite solo le connessioni crittografate tramite HTTPS (TLS). L'abilitazione della crittografia da nodo a nodo per i domini Elasticsearch garantisce che le comunicazioni all'interno del cluster siano crittografate in transito.
4839	Sicurezza dei sistemi aziendali, cloud computing, accesso non autorizzato (22.1.24. C.04.)	elb-tls-https-listeners-only	Assicurati che Elastic Load Balancer (ELB) sia configurato con ascoltatori SSL o HTTPS. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati.
4839	Sicurezza dei sistemi aziendali, cloud computing, accesso non autorizzato (22.1.24. C.04.)	encrypted-volumes	Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi volumi Amazon Elastic Block Store (EBS).
4839	Sicurezza dei sistemi aziendali, cloud computing, accesso non autorizzato (22.1.24. C.04.)	opensearch-encrypted-at-rest	Questo controllo verifica se nei OpenSearch domini è abilitata la configurazione di crittografia a riposo. Il controllo non riesce se la crittografia dei dati inattivi non è abilitata. Per un ulteriore livello di sicurezza per i dati sensibili, è necessario configurare il dominio di OpenSearch servizio in modo che venga crittografato quando non è attivo. Quando configuri la crittografia dei dati inattivi, Amazon Key Management Service (KMS) archivia e gestisce le tue chiavi di crittografia. Per eseguire la crittografia, AWS KMS utilizza l'algoritmo Advanced Encryption Standard con chiavi a 256 bit (). AES-256
4839	Sicurezza dei sistemi aziendali, cloud computing, accesso non autorizzato (22.1.24. C.04.)	opensearch-node-to-node-encryption-check	Questo controllo verifica se nei OpenSearch domini è abilitata la crittografia da nodo a nodo. Questo controllo ha esito negativo se la crittografia da nodo a nodo è disabilitata nel dominio. HTTPS (TLS) può essere utilizzato per impedire a potenziali aggressori di intercettare o manipolare il traffico di rete utilizzando attacchi person-in-the-middle o simili. Devono essere consentite solo le connessioni crittografate tramite HTTPS (TLS). L'abilitazione della crittografia da nodo a nodo per i domini garantisce che le comunicazioni all'interno del cluster siano crittografate durante il transito. OpenSearch
4839	Sicurezza dei sistemi aziendali, cloud computing, accesso non autorizzato (22.1.24. C.04.)	rds-snapshot-encrypted	Assicurati che la crittografia sia abilitata per le tue istantanee di Amazon Relational Database Service (RDS). Data la possibile presenza di dati sensibili a riposo, abilita la crittografia a riposo per proteggere tali dati.
4839	Sicurezza dei sistemi aziendali, cloud computing, accesso non autorizzato (22.1.24. C.04.)	rds-storage-encrypted	Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per le tue istanze di Amazon Relational Database Service (RDS). Data la possibile presenza di dati sensibili a riposo nelle istanze Amazon RDS, abilita la crittografia a riposo per proteggere tali dati.
4839	Sicurezza dei sistemi aziendali, cloud computing, accesso non autorizzato (22.1.24. C.04.)	redshift-cluster-configuration-check	Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola imposta cluster DbEncrypted su true e loggingEnabled su true.
4839	Sicurezza dei sistemi aziendali, cloud computing, accesso non autorizzato (22.1.24. C.04.)	redshift-require-tls-ssl	Assicurati che i tuoi cluster Amazon Redshift richiedano la TLS/SSL crittografia per connettersi ai client SQL. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati.
4839	Sicurezza dei sistemi aziendali, cloud computing, accesso non autorizzato (22.1.24. C.04.)	s3-bucket-ssl-requests-only	Per aiutare a proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di Secure Socket Layer (SSL). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati.
4839	Sicurezza dei sistemi aziendali, cloud computing, accesso non autorizzato (22.1.24. C.04.)	sagemaker-endpoint-configuration-kms-key-configured	Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (KMS) sia abilitata per il tuo endpoint. SageMaker Poiché i dati sensibili possono esistere anche quando sono inattivi nell' SageMaker endpoint, abilita la crittografia a riposo per proteggere tali dati.
4839	Sicurezza dei sistemi aziendali, cloud computing, accesso non autorizzato (22.1.24. C.04.)	sagemaker-notebook-instance-kms-key-configured	Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (KMS) sia abilitata per il tuo notebook. SageMaker Poiché i dati sensibili possono esistere anche quando sono inattivi nel SageMaker notebook, abilita la crittografia a riposo per proteggere tali dati.
4839	Sicurezza dei sistemi aziendali, cloud computing, accesso non autorizzato (22.1.24. C.04.)	secretsmanager-using-cmk	Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (KMS) sia abilitata per i segreti di AWS Secrets Manager. Data la possibile presenza di dati sensibili a riposo nei segreti di Secrets Manager, abilita la crittografia a riposo per proteggere tali dati.
4849	Sicurezza dei sistemi aziendali, cloud computing, backup, ripristino, archiviazione e conservazione dei dati (22.1.26. C.01.)	db-instance-backup-enabled	La funzionalità di backup di Amazon Relational Database Service (RDS) crea backup dei database e dei log delle transazioni. Amazon RDS crea automaticamente uno snapshot di archiviazione del volume dell'istanza database, eseguendo il backup dell'intera istanza. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza.
4849	Sicurezza dei sistemi aziendali, cloud computing, backup, ripristino, archiviazione e conservazione dei dati (22.1.26. C.01.)	dynamodb-pitr-enabled	Abilita questa regola per verificare che sia stato eseguito il backup delle informazioni. Inoltre, gestisce i backup garantendo che il ripristino point-in-time sia abilitato in Amazon DynamoDB. Il ripristino mantiene i backup continui della tabella degli ultimi 35 giorni.
4849	Sicurezza dei sistemi aziendali, cloud computing, backup, ripristino, archiviazione e conservazione dei dati (22.1.26. C.01.)	elasticache-redis-cluster-automatic-backup-check	Quando i backup automatici sono abilitati, Amazon ElastiCache crea un backup del cluster su base giornaliera. Il backup può essere mantenuto per un certo numero di giorni, come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. Se si verifica un errore, puoi creare un nuovo cluster, che ripristina i dati dal backup più recente.
4849	Sicurezza dei sistemi aziendali, cloud computing, backup, ripristino, archiviazione e conservazione dei dati (22.1.26. C.01.)	rds-cluster-deletion-protection-enabled	Assicurati che le istanze di Amazon Relational Database Service (RDS) abbiano la protezione da eliminazione abilitata. Utilizza la protezione dall'eliminazione per evitare che le istanze RDS vengano eliminate accidentalmente o intenzionalmente, il che può portare alla perdita di disponibilità delle applicazioni.
4849	Sicurezza dei sistemi aziendali, cloud computing, backup, ripristino, archiviazione e conservazione dei dati (22.1.26. C.01.)	rds-instance-deletion-protection-enabled	Assicurati che le istanze di Amazon Relational Database Service (RDS) abbiano la protezione da eliminazione abilitata. Utilizza la protezione da eliminazione per evitare che le istanze Amazon RDS vengano eliminate accidentalmente o intenzionalmente, con conseguente perdita di disponibilità delle applicazioni.
4849	Sicurezza dei sistemi aziendali, cloud computing, backup, ripristino, archiviazione e conservazione dei dati (22.1.26. C.01.)	redshift-backup-enabled	Per facilitare i processi di backup dei dati, assicurati che i cluster Amazon Redshift dispongano di snapshot automatizzati. Quando gli snapshot automatici sono abilitati per un cluster, Amazon Redshift esegue periodicamente l'acquisizione degli snapshot per quel cluster. Per impostazione predefinita, Redshift acquisisce uno snapshot ogni otto ore o ogni 5 GB per nodo di modifiche ai dati, a seconda di quale situazione si verifichi prima.
6843	Controllo degli accessi e password, gestione degli accessi privilegiati, principio del privilegio minimo (16.4.31. C.02.)	mfa-enabled-for-iam-console-access	Multi-factor l'autenticazione (MFA) aggiunge ulteriore sicurezza richiedendo agli utenti di fornire un'autenticazione unica tramite un meccanismo AWS-supported MFA, oltre alle normali credenziali di accesso, quando accedono a siti Web o servizi AWS. I meccanismi supportati includono chiavi di sicurezza U2F, dispositivi MFA virtuali o hardware e codici. SMS-based Questa regola verifica se AWS MFA è abilitato per tutti gli utenti di AWS Identity and Access Management (IAM) che utilizzano una password di console. La regola è conforme se l'MFA è abilitata.
6843	Controllo degli accessi e password, gestione degli accessi privilegiati, principio del privilegio minimo (16.4.31. C.02.)	root-account-hardware-mfa-enabled	Gestisci l'accesso alle risorse nel cloud AWS assicurando che l'autenticazione hardware a più fattori (MFA) sia abilitata per l'utente root. L'utente root è l'utente con più privilegi in un account AWS. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo la MFA per l'utente root, puoi ridurre gli incidenti dovuti alla compromissione degli account AWS.
6852	Controllo degli accessi e password, gestione degli accessi privilegiati, sospensione e revoca delle credenziali di accesso privilegiato (16.4.33. C.01.)	iam-user-unused-credentials-check	AWS Identity and Access Management (IAM) può aiutarti con i permessi e le autorizzazioni di accesso controllando le password e le chiavi di accesso IAM che non vengono utilizzate per un periodo di tempo specificato. Se vengono identificate queste credenziali non utilizzate, è necessario disabilitarne la and/or rimozione, poiché ciò potrebbe violare il principio del privilegio minimo. Questa regola imposta un massimo di 30 giorni. CredentialUsageAge
6860	Controllo degli accessi e password, gestione degli accessi privilegiati, monitoraggio e revisione (16.4.35. C.02.)	cloud-trail-cloud-watch-logs-enabled	È necessario eseguire la configurazione CloudTrail con CloudWatch Logs per monitorare i registri dei percorsi e ricevere notifiche quando si verificano attività specifiche. Questa regola verifica se i CloudTrail trail AWS sono configurati per inviare log ai log di Amazon CloudWatch .
6860	Controllo degli accessi e password, gestione degli accessi privilegiati, monitoraggio e revisione (16.4.35. C.02.)	cloudtrail-enabled	AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di gestione AWS e le chiamate API. Puoi identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono disponibili all'interno di AWS CloudTrail Record Contents.
6861	Controllo degli accessi e password, gestione degli accessi privilegiati, monitoraggio e revisione (16.4.35. C.03.)	cloudtrail-security-trail-enabled	Questa regola aiuta a garantire l'uso delle best practice di sicurezza consigliate da AWS per AWS CloudTrail, verificando l'abilitazione di più impostazioni. Questi includono l'uso della crittografia dei log, la convalida dei log e l'abilitazione di AWS CloudTrail in più regioni.
6953	Controllo degli accessi e password, Multi-Factor autenticazione, architettura di sistema e controlli di sicurezza (16.7.34. C.02.)	mfa-enabled-for-iam-console-access	Multi-factor l'autenticazione (MFA) aggiunge ulteriore sicurezza richiedendo agli utenti di fornire un'autenticazione unica tramite un meccanismo AWS-supported MFA, oltre alle normali credenziali di accesso, quando accedono a siti Web o servizi AWS. I meccanismi supportati includono chiavi di sicurezza U2F, dispositivi MFA virtuali o hardware e codici. SMS-based Questa regola verifica se AWS MFA è abilitato per tutti gli utenti di AWS Identity and Access Management (IAM) che utilizzano una password di console. La regola è conforme se l'MFA è abilitata.
6953	Controllo degli accessi e password, Multi-Factor autenticazione, architettura di sistema e controlli di sicurezza (16.7.34. C.02.)	root-account-hardware-mfa-enabled	Gestisci l'accesso alle risorse nel cloud AWS assicurando che l'autenticazione hardware a più fattori (MFA) sia abilitata per l'utente root. L'utente root è l'utente con più privilegi in un account AWS. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo la MFA per l'utente root, puoi ridurre gli incidenti dovuti alla compromissione degli account AWS.
7436	Sicurezza nel cloud pubblico, gestione delle identità e controllo degli accessi, nome utente e password (23.3.19. C.01.)	iam-user-mfa-enabled	Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS. Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti IAM. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti di account compromessi richiedendo l'autenticazione a più fattori per gli utenti IAM.
7436	Sicurezza nel cloud pubblico, gestione delle identità e controllo degli accessi, nome utente e password (23.3.19. C.01.)	mfa-enabled-for-iam-console-access	Gestisci l'accesso alle risorse nel cloud AWS assicurando che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password di console. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Richiedendo l'autenticazione a più fattori per gli utenti IAM, puoi ridurre i casi di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
7436	Sicurezza nel cloud pubblico, gestione delle identità e controllo degli accessi, nome utente e password (23.3.19. C.01.)	root-account-hardware-mfa-enabled	Gestisci l'accesso alle risorse nel cloud AWS assicurando che l'autenticazione hardware a più fattori (MFA) sia abilitata per l'utente root. L'utente root è l'utente con più privilegi in un account AWS. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo la MFA per l'utente root, puoi ridurre gli incidenti dovuti alla compromissione degli account AWS.
7436	Sicurezza nel cloud pubblico, gestione delle identità e controllo degli accessi, nome utente e password (23.3.19. C.01.)	root-account-mfa-enabled	Gestisci l'accesso alle risorse nel cloud AWS assicurando che l'autenticazione a più fattori (MFA) sia abilitata per l'utente root. L'utente root è l'utente con più privilegi in un account AWS. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo la MFA per l'utente root, puoi ridurre gli incidenti dovuti alla compromissione degli account AWS.
7437	Sicurezza nel cloud pubblico, gestione delle identità e controllo degli accessi, nome utente e password (23.3.19. C.01.)	iam-user-mfa-enabled	Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS. Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti IAM. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti di account compromessi richiedendo l'autenticazione a più fattori per gli utenti IAM.
7437	Sicurezza nel cloud pubblico, gestione delle identità e controllo degli accessi, nome utente e password (23.3.19. C.01.)	mfa-enabled-for-iam-console-access	Gestisci l'accesso alle risorse nel cloud AWS assicurando che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password di console. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Richiedendo l'autenticazione a più fattori per gli utenti IAM, puoi ridurre i casi di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
7437	Sicurezza nel cloud pubblico, gestione delle identità e controllo degli accessi, nome utente e password (23.3.19. C.01.)	root-account-hardware-mfa-enabled	Gestisci l'accesso alle risorse nel cloud AWS assicurando che l'autenticazione hardware a più fattori (MFA) sia abilitata per l'utente root. L'utente root è l'utente con più privilegi in un account AWS. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo la MFA per l'utente root, puoi ridurre gli incidenti dovuti alla compromissione degli account AWS.
7437	Sicurezza nel cloud pubblico, gestione delle identità e controllo degli accessi, nome utente e password (23.3.19. C.01.)	root-account-mfa-enabled	Gestisci l'accesso alle risorse nel cloud AWS assicurando che l'autenticazione a più fattori (MFA) sia abilitata per l'utente root. L'utente root è l'utente con più privilegi in un account AWS. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo la MFA per l'utente root, puoi ridurre gli incidenti dovuti alla compromissione degli account AWS.
7466	Sicurezza nel cloud pubblico, protezione dei dati nel cloud pubblico, accessibilità dei dati (23.4.10. C.01.)	dms-replication-not-public	Gestisci l'accesso al cloud AWS assicurando che le istanze di replica di AWS Database Migration Service (DMS) non siano accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
7466	Sicurezza nel cloud pubblico, protezione dei dati nel cloud pubblico, accessibilità dei dati (23.4.10. C.01.)	ec2-imdsv2-check	Assicurati che il metodo del servizio di metadati di istanza versione 2 (IMDSv2) sia abilitato per proteggere l'accesso e il controllo dei metadati delle istanze Amazon Elastic Compute Cloud (Amazon EC2). Il metodo IMDSv2 utilizza controlli basati sulla sessione. Con IMDSv2, puoi implementare controlli per limitare le modifiche ai metadati delle istanze.
7466	Sicurezza nel cloud pubblico, protezione dei dati nel cloud pubblico, accessibilità dei dati (23.4.10. C.01.)	ec2-instance-no-public-ip	Gestisci l'accesso al cloud AWS assicurando che le istanze Amazon Elastic Compute Cloud (Amazon EC2) non siano accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
7466	Sicurezza nel cloud pubblico, protezione dei dati nel cloud pubblico, accessibilità dei dati (23.4.10. C.01.)	ec2-instances-in-vpc	Implementa istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di un Amazon Virtual Private Cloud (VPC) per consentire comunicazioni sicure tra un'istanza e altri servizi all'interno di Amazon VPC, senza richiedere un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso.
7466	Sicurezza nel cloud pubblico, protezione dei dati nel cloud pubblico, accessibilità dei dati (23.4.10. C.01.)	elasticsearch-in-vpc-only	Questo controllo verifica se i domini Elasticsearch si trovano in un cloud privato virtuale (VPC). Non valuta la configurazione del routing della sottorete VPC per determinare l'accesso pubblico. È necessario assicurarsi che i domini Elasticsearch non siano collegati a sottoreti pubbliche. I domini Elasticsearch distribuiti all'interno di un VPC possono comunicare con le risorse VPC sulla rete AWS privata, senza la necessità di attraversare la rete Internet pubblica. Questa configurazione aumenta il livello di sicurezza limitando l'accesso ai dati in transito. I VPC forniscono una serie di controlli di rete per proteggere l'accesso ai domini Elasticsearch, inclusi l'ACL di rete e i gruppi di sicurezza
7466	Sicurezza nel cloud pubblico, protezione dei dati nel cloud pubblico, accessibilità dei dati (23.4.10. C.01.)	emr-master-no-public-ip	Gestisci l'accesso al cloud AWS assicurando che i nodi master del cluster Amazon Elastic MapReduce (EMR) non siano accessibili pubblicamente. I nodi principali del cluster Amazon EMR possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
7466	Sicurezza nel cloud pubblico, protezione dei dati nel cloud pubblico, accessibilità dei dati (23.4.10. C.01.)	guardduty-enabled-centralized	Amazon GuardDuty può aiutarti a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando feed di intelligence sulle minacce. Questi includono elenchi di IP dannosi e machine learning per identificare attività impreviste, non autorizzate e dannose all'interno del tuo ambiente cloud AWS.
7466	Sicurezza nel cloud pubblico, protezione dei dati nel cloud pubblico, accessibilità dei dati (23.4.10. C.01.)	lambda-function-public-access-prohibited	Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni di AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può comportare una riduzione della disponibilità delle risorse.
7466	Sicurezza nel cloud pubblico, protezione dei dati nel cloud pubblico, accessibilità dei dati (23.4.10. C.01.)	opensearch-in-vpc-only	Questo controllo verifica se i OpenSearch domini si trovano in un cloud privato virtuale (VPC). Non valuta la configurazione del routing della sottorete VPC per determinare l'accesso pubblico. È necessario assicurarsi che i OpenSearch domini non siano collegati a sottoreti pubbliche. OpenSearch i domini distribuiti all'interno di un VPC possono comunicare con le risorse VPC sulla rete AWS privata, senza la necessità di attraversare la rete Internet pubblica. Questa configurazione aumenta il livello di sicurezza limitando l'accesso ai dati in transito. I VPC forniscono una serie di controlli di rete per proteggere l'accesso ai OpenSearch domini, inclusi l'ACL di rete e i gruppi di sicurezza.
7466	Sicurezza nel cloud pubblico, protezione dei dati nel cloud pubblico, accessibilità dei dati (23.4.10. C.01.)	rds-instance-public-access-check	Gestisci l'accesso alle risorse nel cloud AWS assicurandoti che le istanze di Amazon Relational Database Service (RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi.
7466	Sicurezza nel cloud pubblico, protezione dei dati nel cloud pubblico, accessibilità dei dati (23.4.10. C.01.)	redshift-cluster-public-access-check	Gestisci l'accesso alle risorse nel cloud AWS assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi.
7466	Sicurezza nel cloud pubblico, protezione dei dati nel cloud pubblico, accessibilità dei dati (23.4.10. C.01.)	s3-account-level-public-access-blocks-periodic	Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola imposta ignore PublicAcls su True, block PublicPolicy su True, block PublicAcls su True e limit PublicBuckets su True.
7466	Sicurezza nel cloud pubblico, protezione dei dati nel cloud pubblico, accessibilità dei dati (23.4.10. C.01.)	sagemaker-notebook-no-direct-internet-access	Gestisci l'accesso alle risorse nel cloud AWS assicurandoti che SageMaker i notebook Amazon non consentano l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, puoi impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
7466	Sicurezza nel cloud pubblico, protezione dei dati nel cloud pubblico, accessibilità dei dati (23.4.10. C.01.)	ssm-document-not-public	Assicurati che i documenti di AWS Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni su account, risorse e processi interni.
7466	Sicurezza nel cloud pubblico, protezione dei dati nel cloud pubblico, accessibilità dei dati (23.4.10. C.01.)	vpc-default-security-group-closed	I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtraggio stateful del traffico di rete in ingresso e in uscita verso le risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS.
7466	Sicurezza nel cloud pubblico, protezione dei dati nel cloud pubblico, accessibilità dei dati (23.4.10. C.01.)	vpc-flow-logs-enabled	I log di flusso del cloud privato virtuale (VPC) forniscono record dettagliati per informazioni sul traffico IP in entrata e in uscita dalle interfacce di rete nel tuo Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo.
7496	Sicurezza nel cloud pubblico, registrazione e avvisi nel cloud pubblico, requisiti di registrazione (23.5.11. C.01.)	api-gw-execution-logging-enabled	La registrazione di log di Gateway API mostra viste dettagliate degli utenti che hanno effettuato l'accesso all'API e del modo in cui hanno effettuato l'accesso. Queste informazioni offrono visibilità sulle attività degli utenti.
7496	Sicurezza nel cloud pubblico, registrazione e avvisi nel cloud pubblico, requisiti di registrazione (23.5.11. C.01.)	cloud-trail-log-file-validation-enabled	Utilizza la convalida dei file di CloudTrail registro AWS per verificare l'integrità dei CloudTrail log. La convalida dei file di registro aiuta a determinare se un file di registro è stato modificato o eliminato o è rimasto invariato dopo la consegna. CloudTrail Questa funzionalità è creata utilizzando algoritmi standard del settore: SHA-256 per l'hashing e SHA-256 con RSA per la firma digitale. Ciò rende computazionalmente impossibile modificare, eliminare o falsificare i file di registro senza essere rilevati. CloudTrail
7496	Sicurezza nel cloud pubblico, registrazione e avvisi nel cloud pubblico, requisiti di registrazione (23.5.11. C.01.)	cloudfront-accesslogs-enabled	Questo controllo verifica se la registrazione degli accessi al server è abilitata sulle CloudFront distribuzioni. Il controllo fallisce se la registrazione degli accessi non è abilitata per una distribuzione. CloudFront i registri di accesso forniscono informazioni dettagliate su ogni richiesta utente ricevuta CloudFront . Ogni log contiene informazioni come la data e l'ora di ricezione della richiesta, l'indirizzo IP del visualizzatore che ha effettuato la richiesta, l'origine della richiesta e il numero di porta della richiesta del visualizzatore. Questi log sono utili per applicazioni quali audit di sicurezza e accesso e indagini forensi. Questa regola deve essere applicata nella regione us-east-1.
7496	Sicurezza nel cloud pubblico, registrazione e avvisi nel cloud pubblico, requisiti di registrazione (23.5.11. C.01.)	cloudtrail-enabled	AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di gestione AWS e le chiamate API. Puoi identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono disponibili all'interno di AWS CloudTrail Record Contents.
7496	Sicurezza nel cloud pubblico, registrazione e avvisi nel cloud pubblico, requisiti di registrazione (23.5.11. C.01.)	cloudwatch-log-group-encrypted	Per proteggere i dati sensibili archiviati, assicurati che la crittografia sia abilitata per i tuoi Amazon CloudWatch Log Groups.
7496	Sicurezza nel cloud pubblico, registrazione e avvisi nel cloud pubblico, requisiti di registrazione (23.5.11. C.01.)	elb-logging-enabled	L'attività di Elastic Load Balancing è un punto di comunicazione centrale all'interno di un ambiente. Assicurati che la registrazione di log di ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate a ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
7496	Sicurezza nel cloud pubblico, registrazione e avvisi nel cloud pubblico, requisiti di registrazione (23.5.11. C.01.)	rds-logging-enabled	Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, assicurati che la registrazione di Amazon Relational Database Service (RDS) sia abilitata. Con la registrazione di log di Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate.
7496	Sicurezza nel cloud pubblico, registrazione e avvisi nel cloud pubblico, requisiti di registrazione (23.5.11. C.01.)	wafv2-logging-enabled	Per facilitare la registrazione e il monitoraggio all'interno del tuo ambiente, abilita la registrazione AWS WAF (V2) su ACL Web regionali e globali. La registrazione di AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log registrano l'ora in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, informazioni sulla richiesta e un'azione per la regola a cui ogni richiesta corrisponde.
7545	Controllo degli accessi e password, identificazione, autenticazione e autenticazione, password e policy (16.1.31. C.02.)	iam-password-policy	Garantisci modifiche annuali delle password sui sistemi che non hanno implementato l'autenticazione a più fattori (MFA) o l'autenticazione senza password.
7546	Controllo degli accessi e password, identificazione, autenticazione e autenticazione, password e policy (16.1.31. C.03.)	iam-password-policy	Garantire una lunghezza minima della password di 16 caratteri (ad esempio quattro parole). Le password devono essere lunghe, sicure e uniche. Non viene imposto alcun requisito di complessità esplicito (ad esempio numeri o caratteri speciali), tuttavia le password devono essere uniche o casuali e possono includere caratteri e numeri speciali a tal fine.

Modello



            ##################################################################################
            #
            #   Conformance Pack:
            #     Operational Best Practices for NZISM Foundation
            #
            #   This conformance pack helps verify compliance with NZISM requirements.
            #
            ##################################################################################

            Resources:
              AcmCertificateExpirationCheck:
                Controls: [ '1667' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: acm-certificate-expiration-check
                  InputParameters:
                    daysToExpiration: '30'
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::ACM::Certificate
                  Source:
                    Owner: AWS
                    SourceIdentifier: ACM_CERTIFICATE_EXPIRATION_CHECK
                  Description: "SHOULD 14.5.8.C.01[CID:1667]| Software security/Web Application Development/Web applications"
              AlbHttpToHttpsRedirectionCheck:
                Controls: [ '1847', '2090' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: alb-http-to-https-redirection-check
                  Source:
                    Owner: AWS
                    SourceIdentifier: ALB_HTTP_TO_HTTPS_REDIRECTION_CHECK
                  Description: "MUST 16.1.37.C.01[CID:1847], MUST 17.1.55.C.02[CID:2090]| Access Control and Passwords/Identification, Authentication and Passwords/Protecting authentication data in t..."
              ApiGwExecutionLoggingEnabled:
                Controls: [ '2013', '7496' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: api-gw-execution-logging-enabled
                  InputParameters:
                    loggingLevel: 'ERROR, INFO'
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::ApiGateway::Stage
                      - AWS::ApiGatewayV2::Stage
                  Source:
                    Owner: AWS
                    SourceIdentifier: API_GW_EXECUTION_LOGGING_ENABLED
                  Description: "SHOULD 16.6.10.C.02[CID:2013], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords/Event Logging and Auditing/Additional events to be logged and Public Cloud Se..."
              CloudTrailCloudWatchLogsEnabled:
                Controls: [ '1998', '6860' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: cloud-trail-cloud-watch-logs-enabled
                  Source:
                    Owner: AWS
                    SourceIdentifier: CLOUD_TRAIL_CLOUD_WATCH_LOGS_ENABLED
                  Description: "SHOULD 16.6.6.C.02[CID:1998], MUST 16.4.35.C.02[CID:6860]| Access Control and Passwords: (Event Logging and Auditing/Maintaining system management logs and Privileged..."
              CloudTrailEncryptionEnabled:
                Controls: [ '2082' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: cloud-trail-encryption-enabled
                  Source:
                    Owner: AWS
                    SourceIdentifier: CLOUD_TRAIL_ENCRYPTION_ENABLED
                  Description: "SHOULD 17.1.53.C.04[CID:2082]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements"
              CloudTrailLogFileValidationEnabled:
                Controls: [ '2022', '7496' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: cloud-trail-log-file-validation-enabled
                  Source:
                    Owner: AWS
                    SourceIdentifier: CLOUD_TRAIL_LOG_FILE_VALIDATION_ENABLED
                  Description: "MUST 16.6.12.C.01[CID:2022], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords/Event Logging and Auditing/Event log protection and Public Cloud Security/Loggi..."
              CloudfrontAccesslogsEnabled:
                Condition: IsEdge
                Controls: [ '2013', '7496' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: cloudfront-accesslogs-enabled
                  Source:
                    Owner: AWS
                    SourceIdentifier: CLOUDFRONT_ACCESSLOGS_ENABLED
                  Description: "SHOULD 16.6.10.C.02[CID:2013], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords/Event Logging and Auditing/Additional events to be logged and Public Cloud Se..."
              CloudfrontAssociatedWithWaf:
                Condition: IsEdge
                Controls: [ '3562' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: cloudfront-associated-with-waf
                  Source:
                    Owner: AWS
                    SourceIdentifier: CLOUDFRONT_ASSOCIATED_WITH_WAF
                  Description: "MUST 19.1.12.C.01[CID:3562]| Gateway security/Gateways/Configuration of gateways"
              CloudfrontDefaultRootObjectConfigured:
                Condition: IsEdge
                Controls: [ '1661' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: cloudfront-default-root-object-configured
                  Source:
                    Owner: AWS
                    SourceIdentifier: CLOUDFRONT_DEFAULT_ROOT_OBJECT_CONFIGURED
                  Description: "SHOULD 14.5.6.C.01[CID:1661]| Software security/Web Application Development/Agency website content"
              CloudfrontViewerPolicyHttps:
                Condition: IsEdge
                Controls: [ '1847' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: cloudfront-viewer-policy-https
                  Source:
                    Owner: AWS
                    SourceIdentifier: CLOUDFRONT_VIEWER_POLICY_HTTPS
                  Description: "MUST 16.1.37.C.01[CID:1847]| Access Control and Passwords/Identification, Authentication and Passwords/Protecting authentication data in transit"
              CloudtrailEnabled:
                Controls: [ '1998', '2013', '6860', '7496' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: cloudtrail-enabled
                  Source:
                    Owner: AWS
                    SourceIdentifier: CLOUD_TRAIL_ENABLED
                  Description: "SHOULD 16.6.6.C.02[CID:1998], SHOULD 16.6.10.C.02[CID:2013], MUST 16.4.35.C.02[CID:6860], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords: (Event Logging and..."
              CloudtrailS3DataeventsEnabled:
                Controls: [ '4838' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: cloudtrail-s3-dataevents-enabled
                  Source:
                    Owner: AWS
                    SourceIdentifier: CLOUDTRAIL_S3_DATAEVENTS_ENABLED
                  Description: "SHOULD 22.1.24.C.03[CID:4838]| Enterprise systems security/Cloud Computing/Unauthorised Access"
              CloudtrailSecurityTrailEnabled:
                Controls: [ '6861' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: cloudtrail-security-trail-enabled
                  Source:
                    Owner: AWS
                    SourceIdentifier: CLOUDTRAIL_SECURITY_TRAIL_ENABLED
                  Description: "MUST 16.4.35.C.03[CID:6861]| Access Control and Passwords/Privileged Access Management/Monitoring and Review"
              CloudwatchLogGroupEncrypted:
                Controls: [ '2022', '7496' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: cloudwatch-log-group-encrypted
                  Source:
                    Owner: AWS
                    SourceIdentifier: CLOUDWATCH_LOG_GROUP_ENCRYPTED
                  Description: "MUST 16.6.12.C.01[CID:2022], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords/Event Logging and Auditing/Event log protection and Public Cloud Security/Loggi..."
              CmkBackingKeyRotationEnabled:
                Controls: [ '3021' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: cmk-backing-key-rotation-enabled
                  Source:
                    Owner: AWS
                    SourceIdentifier: CMK_BACKING_KEY_ROTATION_ENABLED
                  Description: "SHOULD 17.9.25.C.01[CID:3021]| Cryptography/Key Management/Contents of KMPs"
              CwLoggroupRetentionPeriodCheck:
                Controls: [ '1998', '2028' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: cw-loggroup-retention-period-check
                  InputParameters:
                    MinRetentionTime: '545'
                  Source:
                    Owner: AWS
                    SourceIdentifier: CW_LOGGROUP_RETENTION_PERIOD_CHECK
                  Description: "SHOULD 16.6.6.C.02[CID:1998], MUST 16.6.13.C.01[CID:2028]| Access Control and Passwords/Event Logging and Auditing: (Maintaining system management logs and Event log ..."
              DbInstanceBackupEnabled:
                Controls: [ '4849' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: db-instance-backup-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::RDS::DBInstance
                  Source:
                    Owner: AWS
                    SourceIdentifier: DB_INSTANCE_BACKUP_ENABLED
                  Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence"
              DmsReplicationNotPublic:
                Controls: [ '3562', '7466' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: dms-replication-not-public
                  Source:
                    Owner: AWS
                    SourceIdentifier: DMS_REPLICATION_NOT_PUBLIC
                  Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..."
              DynamodbAutoscalingEnabled:
                Controls: [ '4829' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: dynamodb-autoscaling-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::DynamoDB::Table
                  Source:
                    Owner: AWS
                    SourceIdentifier: DYNAMODB_AUTOSCALING_ENABLED
                  Description: "MUST 22.1.23.C.01[CID:4829]| Enterprise systems security/Cloud Computing/System Availability"
              DynamodbPitrEnabled:
                Controls: [ '4849' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: dynamodb-pitr-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::DynamoDB::Table
                  Source:
                    Owner: AWS
                    SourceIdentifier: DYNAMODB_PITR_ENABLED
                  Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence"
              DynamodbTableEncryptedKms:
                Controls: [ '4839' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: dynamodb-table-encrypted-kms
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::DynamoDB::Table
                  Source:
                    Owner: AWS
                    SourceIdentifier: DYNAMODB_TABLE_ENCRYPTED_KMS
                  Description: "SHOULD 22.1.24.C.04[CID:4839]| Enterprise systems security/Cloud Computing/Unauthorised Access"
              EbsSnapshotPublicRestorableCheck:
                Controls: [ '4838' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: ebs-snapshot-public-restorable-check
                  Source:
                    Owner: AWS
                    SourceIdentifier: EBS_SNAPSHOT_PUBLIC_RESTORABLE_CHECK
                  Description: "SHOULD 22.1.24.C.03[CID:4838]| Enterprise systems security/Cloud Computing/Unauthorised Access"
              Ec2EbsEncryptionByDefault:
                Controls: [ '2082' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: ec2-ebs-encryption-by-default
                  Source:
                    Owner: AWS
                    SourceIdentifier: EC2_EBS_ENCRYPTION_BY_DEFAULT
                  Description: "SHOULD 17.1.53.C.04[CID:2082]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements"
              Ec2Imdsv2Check:
                Controls: [ '3562', '7466' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: ec2-imdsv2-check
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::EC2::Instance
                  Source:
                    Owner: AWS
                    SourceIdentifier: EC2_IMDSV2_CHECK
                  Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..."
              Ec2InstanceManagedBySystemsManager:
                Controls: [ '1149' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: ec2-instance-managed-by-systems-manager
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::EC2::Instance
                      - AWS::SSM::ManagedInstanceInventory
                  Source:
                    Owner: AWS
                    SourceIdentifier: EC2_INSTANCE_MANAGED_BY_SSM
                  Description: "SHOULD 14.1.8.C.01[CID:1149]| Software security/Standard Operating Environments/Developing hardened SOEs"
              Ec2InstanceNoPublicIp:
                Controls: [ '3562', '7466' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: ec2-instance-no-public-ip
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::EC2::Instance
                  Source:
                    Owner: AWS
                    SourceIdentifier: EC2_INSTANCE_NO_PUBLIC_IP
                  Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..."
              Ec2InstancesInVpc:
                Controls: [ '3562', '7466' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: ec2-instances-in-vpc
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::EC2::Instance
                  Source:
                    Owner: AWS
                    SourceIdentifier: INSTANCES_IN_VPC
                  Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..."
              Ec2ManagedinstanceAssociationComplianceStatusCheck:
                Controls: [ '1149' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: ec2-managedinstance-association-compliance-status-check
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::SSM::AssociationCompliance
                  Source:
                    Owner: AWS
                    SourceIdentifier: EC2_MANAGEDINSTANCE_ASSOCIATION_COMPLIANCE_STATUS_CHECK
                  Description: "SHOULD 14.1.8.C.01[CID:1149]| Software security/Standard Operating Environments/Developing hardened SOEs"
              Ec2ManagedinstancePatchComplianceStatusCheck:
                Controls: [ '3449', '3451', '3452', '3453' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: ec2-managedinstance-patch-compliance-status-check
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::SSM::PatchCompliance
                  Source:
                    Owner: AWS
                    SourceIdentifier: EC2_MANAGEDINSTANCE_PATCH_COMPLIANCE_STATUS_CHECK
                  Description: "MUST 12.4.4.C.02[CID:3449], SHOULD 12.4.4.C.04[CID:3451], SHOULD 12.4.4.C.05[CID:3452], SHOULD 12.4.4.C.06[CID:3453]| Product Security/Product Patching and Updating/Pa..."
              EcrPrivateImageScanningEnabled:
                Controls: [ '3449' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: ecr-private-image-scanning-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::ECR::Repository
                  Source:
                    Owner: AWS
                    SourceIdentifier: ECR_PRIVATE_IMAGE_SCANNING_ENABLED
                  Description: "MUST 12.4.4.C.02[CID:3449]| Product Security/Product Patching and Updating/Patching vulnerabilities in products"
              EcsContainersNonprivileged:
                Controls: [ '1149' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: ecs-containers-nonprivileged
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::ECS::TaskDefinition
                  Source:
                    Owner: AWS
                    SourceIdentifier: ECS_CONTAINERS_NONPRIVILEGED
                  Description: "SHOULD 14.1.8.C.01[CID:1149]| Software security/Standard Operating Environments/Developing hardened SOEs"
              EcsContainersReadonlyAccess:
                Controls: [ '1149' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: ecs-containers-readonly-access
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::ECS::TaskDefinition
                  Source:
                    Owner: AWS
                    SourceIdentifier: ECS_CONTAINERS_READONLY_ACCESS
                  Description: "SHOULD 14.1.8.C.01[CID:1149]| Software security/Standard Operating Environments/Developing hardened SOEs"
              EfsEncryptedCheck:
                Controls: [ '2082', '4839' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: efs-encrypted-check
                  Source:
                    Owner: AWS
                    SourceIdentifier: EFS_ENCRYPTED_CHECK
                  Description: "SHOULD 17.1.53.C.04[CID:2082], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements and Enterpri..."
              ElasticBeanstalkManagedUpdatesEnabled:
                Controls: [ '3452' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: elastic-beanstalk-managed-updates-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::ElasticBeanstalk::Environment
                  Source:
                    Owner: AWS
                    SourceIdentifier: ELASTIC_BEANSTALK_MANAGED_UPDATES_ENABLED
                  Description: "SHOULD 12.4.4.C.05[CID:3452]| Product Security/Product Patching and Updating/Patching vulnerabilities in products"
              ElasticacheRedisClusterAutomaticBackupCheck:
                Controls: [ '4849' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: elasticache-redis-cluster-automatic-backup-check
                  Source:
                    Owner: AWS
                    SourceIdentifier: ELASTICACHE_REDIS_CLUSTER_AUTOMATIC_BACKUP_CHECK
                  Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence"
              ElasticsearchEncryptedAtRest:
                Controls: [ '2082', '4441', '4839' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: elasticsearch-encrypted-at-rest
                  Source:
                    Owner: AWS
                    SourceIdentifier: ELASTICSEARCH_ENCRYPTED_AT_REST
                  Description: "SHOULD 17.1.53.C.04[CID:2082], SHOULD 20.4.4.C.02[CID:4441], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical trans..."
              ElasticsearchInVpcOnly:
                Controls: [ '3562', '3623', '7466' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: elasticsearch-in-vpc-only
                  Source:
                    Owner: AWS
                    SourceIdentifier: ELASTICSEARCH_IN_VPC_ONLY
                  Description: "MUST 19.1.12.C.01[CID:3562], SHOULD 19.1.14.C.02[CID:3623], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways: (Configuration of gateways and Demilitarised zones..."
              ElasticsearchNodeToNodeEncryptionCheck:
                Controls: [ '1847', '4839' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: elasticsearch-node-to-node-encryption-check
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::Elasticsearch::Domain
                  Source:
                    Owner: AWS
                    SourceIdentifier: ELASTICSEARCH_NODE_TO_NODE_ENCRYPTION_CHECK
                  Description: "MUST 16.1.37.C.01[CID:1847], SHOULD 22.1.24.C.04[CID:4839]| Access Control and Passwords/Identification, Authentication and Passwords/Protecting authentication data in..."
              ElbCrossZoneLoadBalancingEnabled:
                Controls: [ '4829' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: elb-cross-zone-load-balancing-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::ElasticLoadBalancing::LoadBalancer
                  Source:
                    Owner: AWS
                    SourceIdentifier: ELB_CROSS_ZONE_LOAD_BALANCING_ENABLED
                  Description: "MUST 22.1.23.C.01[CID:4829]| Enterprise systems security/Cloud Computing/System Availability"
              ElbCustomSecurityPolicySslCheck:
                Controls: [ '2598', '2600' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: elb-custom-security-policy-ssl-check
                  InputParameters:
                    sslProtocolsAndCiphers: 'Protocol-TLSv1.2,ECDHE-ECDSA-AES256-GCM-SHA384'
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::ElasticLoadBalancing::LoadBalancer
                  Source:
                    Owner: AWS
                    SourceIdentifier: ELB_CUSTOM_SECURITY_POLICY_SSL_CHECK
                  Description: "SHOULD 17.4.16.C.01[CID:2598], SHOULD NOT 17.4.16.C.02[CID:2600]| Cryptography/Transport Layer Security/Using TLS"
              ElbLoggingEnabled:
                Controls: [ '2013', '7496' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: elb-logging-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::ElasticLoadBalancing::LoadBalancer
                      - AWS::ElasticLoadBalancingV2::LoadBalancer
                  Source:
                    Owner: AWS
                    SourceIdentifier: ELB_LOGGING_ENABLED
                  Description: "SHOULD 16.6.10.C.02[CID:2013], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords/Event Logging and Auditing/Additional events to be logged and Public Cloud Se..."
              ElbTlsHttpsListenersOnly:
                Controls: [ '1667', '1847', '2090', '4839' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: elb-tls-https-listeners-only
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::ElasticLoadBalancing::LoadBalancer
                  Source:
                    Owner: AWS
                    SourceIdentifier: ELB_TLS_HTTPS_LISTENERS_ONLY
                  Description: "SHOULD 14.5.8.C.01[CID:1667], MUST 16.1.37.C.01[CID:1847], MUST 17.1.55.C.02[CID:2090], SHOULD 22.1.24.C.04[CID:4839]| Software security/Web Application Development/We..."
              EmrMasterNoPublicIp:
                Controls: [ '3562', '7466' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: emr-master-no-public-ip
                  Source:
                    Owner: AWS
                    SourceIdentifier: EMR_MASTER_NO_PUBLIC_IP
                  Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..."
              EncryptedVolumes:
                Controls: [ '2082', '4839' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: encrypted-volumes
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::EC2::Volume
                  Source:
                    Owner: AWS
                    SourceIdentifier: ENCRYPTED_VOLUMES
                  Description: "SHOULD 17.1.53.C.04[CID:2082], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements and Enterpri..."
              GuarddutyEksProtectionAuditEnabled:
                Controls: [ '3857' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: guardduty-eks-protection-audit-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::GuardDuty::Detector
                  Source:
                    Owner: AWS
                    SourceIdentifier: GUARDDUTY_EKS_PROTECTION_AUDIT_ENABLED
                  Description: "SHOULD 18.4.11.C.01[CID:3857]| Network security/Intrusion Detection and Prevention/Configuring the IDS/IPS"
              GuarddutyEksProtectionRuntimeEnabled:
                Controls: [ '3857' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: guardduty-eks-protection-runtime-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::GuardDuty::Detector
                  Source:
                    Owner: AWS
                    SourceIdentifier: GUARDDUTY_EKS_PROTECTION_RUNTIME_ENABLED
                  Description: "SHOULD 18.4.11.C.01[CID:3857]| Network security/Intrusion Detection and Prevention/Configuring the IDS/IPS"
              GuarddutyEnabledCentralized:
                Controls: [ '3562', '3815', '3875', '7466' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: guardduty-enabled-centralized
                  Source:
                    Owner: AWS
                    SourceIdentifier: GUARDDUTY_ENABLED_CENTRALIZED
                  Description: "MUST 19.1.12.C.01[CID:3562], MUST 18.4.9.C.01[CID:3815], SHOULD 18.4.12.C.01[CID:3875], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateway..."
              GuarddutyLambdaProtectionEnabled:
                Controls: [ '3857' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: guardduty-lambda-protection-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::GuardDuty::Detector
                  Source:
                    Owner: AWS
                    SourceIdentifier: GUARDDUTY_LAMBDA_PROTECTION_ENABLED
                  Description: "SHOULD 18.4.11.C.01[CID:3857]| Network security/Intrusion Detection and Prevention/Configuring the IDS/IPS"
              GuarddutyRuntimeMonitoringEnabled:
                Controls: [ '1154' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: guardduty-runtime-monitoring-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::GuardDuty::Detector
                  Source:
                    Owner: AWS
                    SourceIdentifier: GUARDDUTY_RUNTIME_MONITORING_ENABLED
                  Description: "SHOULD 7.1.7.C.02[CID:1154]| Information Security Incidents/Detecting Information Security Incidents/Preventing and detecting information security incidents"
              GuarddutyS3ProtectionEnabled:
                Controls: [ '3857' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: guardduty-s3-protection-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::GuardDuty::Detector
                  Source:
                    Owner: AWS
                    SourceIdentifier: GUARDDUTY_S3_PROTECTION_ENABLED
                  Description: "SHOULD 18.4.11.C.01[CID:3857]| Network security/Intrusion Detection and Prevention/Configuring the IDS/IPS"
              IamPasswordPolicy:
                Controls: [ '7545', '7546' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: iam-password-policy
                  InputParameters:
                    MaxPasswordAge: '1095'
                    MinimumPasswordLength: '16'
                    PasswordReusePrevention: '24'
                    RequireUppercaseCharacters: 'false'
                    RequireLowercaseCharacters: 'false'
                    RequireSymbols: 'false'
                    RequireNumbers: 'false'
                  Source:
                    Owner: AWS
                    SourceIdentifier: IAM_PASSWORD_POLICY
                  Description: "MUST 16.1.31.C.02[CID:7545], MUST 16.1.31.C.03[CID:7546]| Access Control and Passwords/Identification, Authentication and Authentication/Passwords and policy"
              IamPolicyNoStatementsWithAdminAccess:
                Controls: [ '1946' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: iam-policy-no-statements-with-admin-access
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::IAM::Policy
                  Source:
                    Owner: AWS
                    SourceIdentifier: IAM_POLICY_NO_STATEMENTS_WITH_ADMIN_ACCESS
                  Description: "SHOULD 16.3.5.C.02[CID:1946]| Access Control and Passwords/Privileged User Access/Use of privileged accounts"
              IamRootAccessKeyCheck:
                Controls: [ '1946' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: iam-root-access-key-check
                  Source:
                    Owner: AWS
                    SourceIdentifier: IAM_ROOT_ACCESS_KEY_CHECK
                  Description: "SHOULD 16.3.5.C.02[CID:1946]| Access Control and Passwords/Privileged User Access/Use of privileged accounts"
              IamUserMfaEnabled:
                Controls: [ '1841', '7436', '7437' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: iam-user-mfa-enabled
                  Source:
                    Owner: AWS
                    SourceIdentifier: IAM_USER_MFA_ENABLED
                  Description: "SHOULD 16.1.35.C.02[CID:1841], MUST 23.3.19.C.01[CID:7436], MUST 23.3.19.C.01[CID:7437]| Access Control and Passwords/Identification, Authentication and Passwords/Meth..."
              IamUserUnusedCredentialsCheck:
                Controls: [ '1893', '6852' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: iam-user-unused-credentials-check
                  InputParameters:
                    maxCredentialUsageAge: '90'
                  Source:
                    Owner: AWS
                    SourceIdentifier: IAM_USER_UNUSED_CREDENTIALS_CHECK
                  Description: "SHOULD 16.1.46.C.02[CID:1893], MUST 16.4.33.C.01[CID:6852]| Access Control and Passwords: (Identification, Authentication and Passwords/Suspension of access and Privi..."
              LambdaFunctionPublicAccessProhibited:
                Controls: [ '3562', '7466' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: lambda-function-public-access-prohibited
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::Lambda::Function
                  Source:
                    Owner: AWS
                    SourceIdentifier: LAMBDA_FUNCTION_PUBLIC_ACCESS_PROHIBITED
                  Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..."
              MfaEnabledForIamConsoleAccess:
                Controls: [ '1841', '6843', '6953', '7436', '7437' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: mfa-enabled-for-iam-console-access
                  Source:
                    Owner: AWS
                    SourceIdentifier: MFA_ENABLED_FOR_IAM_CONSOLE_ACCESS
                  Description: "SHOULD 16.1.35.C.02[CID:1841], SHOULD 16.4.31.C.02[CID:6843], SHOULD 16.7.34.C.02[CID:6953], MUST 23.3.19.C.01[CID:7436], MUST 23.3.19.C.01[CID:7437]| Access Control a..."
              OpensearchEncryptedAtRest:
                Controls: [ '2082', '4441', '4839' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: opensearch-encrypted-at-rest
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::OpenSearch::Domain
                  Source:
                    Owner: AWS
                    SourceIdentifier: OPENSEARCH_ENCRYPTED_AT_REST
                  Description: "SHOULD 17.1.53.C.04[CID:2082], SHOULD 20.4.4.C.02[CID:4441], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical trans..."
              OpensearchInVpcOnly:
                Controls: [ '3562', '3623', '7466' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: opensearch-in-vpc-only
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::OpenSearch::Domain
                  Source:
                    Owner: AWS
                    SourceIdentifier: OPENSEARCH_IN_VPC_ONLY
                  Description: "MUST 19.1.12.C.01[CID:3562], SHOULD 19.1.14.C.02[CID:3623], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways: (Configuration of gateways and Demilitarised zones..."
              OpensearchNodeToNodeEncryptionCheck:
                Controls: [ '1847', '4839' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: opensearch-node-to-node-encryption-check
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::OpenSearch::Domain
                  Source:
                    Owner: AWS
                    SourceIdentifier: OPENSEARCH_NODE_TO_NODE_ENCRYPTION_CHECK
                  Description: "MUST 16.1.37.C.01[CID:1847], SHOULD 22.1.24.C.04[CID:4839]| Access Control and Passwords/Identification, Authentication and Passwords/Protecting authentication data in..."
              RdsAutomaticMinorVersionUpgradeEnabled:
                Controls: [ '3452' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: rds-automatic-minor-version-upgrade-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::RDS::DBInstance
                  Source:
                    Owner: AWS
                    SourceIdentifier: RDS_AUTOMATIC_MINOR_VERSION_UPGRADE_ENABLED
                  Description: "SHOULD 12.4.4.C.05[CID:3452]| Product Security/Product Patching and Updating/Patching vulnerabilities in products"
              RdsClusterDeletionProtectionEnabled:
                Controls: [ '4849' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: rds-cluster-deletion-protection-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::RDS::DBCluster
                  Source:
                    Owner: AWS
                    SourceIdentifier: RDS_CLUSTER_DELETION_PROTECTION_ENABLED
                  Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence"
              RdsInstanceDeletionProtectionEnabled:
                Controls: [ '4849' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: rds-instance-deletion-protection-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::RDS::DBInstance
                  Source:
                    Owner: AWS
                    SourceIdentifier: RDS_INSTANCE_DELETION_PROTECTION_ENABLED
                  Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence"
              RdsInstancePublicAccessCheck:
                Controls: [ '3562', '3623', '7466' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: rds-instance-public-access-check
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::RDS::DBInstance
                  Source:
                    Owner: AWS
                    SourceIdentifier: RDS_INSTANCE_PUBLIC_ACCESS_CHECK
                  Description: "MUST 19.1.12.C.01[CID:3562], SHOULD 19.1.14.C.02[CID:3623], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways: (Configuration of gateways and Demilitarised zones..."
              RdsLoggingEnabled:
                Controls: [ '2013', '4441', '4445', '7496' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: rds-logging-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::RDS::DBInstance
                  Source:
                    Owner: AWS
                    SourceIdentifier: RDS_LOGGING_ENABLED
                  Description: "SHOULD 16.6.10.C.02[CID:2013], SHOULD 20.4.4.C.02[CID:4441], SHOULD 20.4.5.C.02[CID:4445], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords/Event Logging and ..."
              RdsSnapshotEncrypted:
                Controls: [ '2082', '4441', '4839' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: rds-snapshot-encrypted
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::RDS::DBSnapshot
                      - AWS::RDS::DBClusterSnapshot
                  Source:
                    Owner: AWS
                    SourceIdentifier: RDS_SNAPSHOT_ENCRYPTED
                  Description: "SHOULD 17.1.53.C.04[CID:2082], SHOULD 20.4.4.C.02[CID:4441], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical trans..."
              RdsSnapshotsPublicProhibited:
                Controls: [ '4441' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: rds-snapshots-public-prohibited
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::RDS::DBSnapshot
                      - AWS::RDS::DBClusterSnapshot
                  Source:
                    Owner: AWS
                    SourceIdentifier: RDS_SNAPSHOTS_PUBLIC_PROHIBITED
                  Description: "SHOULD 20.4.4.C.02[CID:4441]| Data management/Databases/Database files"
              RdsStorageEncrypted:
                Controls: [ '2082', '4441', '4839' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: rds-storage-encrypted
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::RDS::DBInstance
                  Source:
                    Owner: AWS
                    SourceIdentifier: RDS_STORAGE_ENCRYPTED
                  Description: "SHOULD 17.1.53.C.04[CID:2082], SHOULD 20.4.4.C.02[CID:4441], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical trans..."
              RedshiftBackupEnabled:
                Controls: [ '4849' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: redshift-backup-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::Redshift::Cluster
                  Source:
                    Owner: AWS
                    SourceIdentifier: REDSHIFT_BACKUP_ENABLED
                  Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence"
              RedshiftClusterConfigurationCheck:
                Controls: [ '4441', '4445', '4839' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: redshift-cluster-configuration-check
                  InputParameters:
                    clusterDbEncrypted: 'true'
                    loggingEnabled: 'true'
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::Redshift::Cluster
                  Source:
                    Owner: AWS
                    SourceIdentifier: REDSHIFT_CLUSTER_CONFIGURATION_CHECK
                  Description: "SHOULD 20.4.4.C.02[CID:4441], SHOULD 20.4.5.C.02[CID:4445], SHOULD 22.1.24.C.04[CID:4839]| Data management/Databases: (Database files and Accountability) and Enterpr..."
              RedshiftClusterMaintenancesettingsCheck:
                Controls: [ '3449', '3453' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: redshift-cluster-maintenancesettings-check
                  InputParameters:
                    allowVersionUpgrade: 'true'
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::Redshift::Cluster
                  Source:
                    Owner: AWS
                    SourceIdentifier: REDSHIFT_CLUSTER_MAINTENANCESETTINGS_CHECK
                  Description: "MUST 12.4.4.C.02[CID:3449], SHOULD 12.4.4.C.06[CID:3453]| Product Security/Product Patching and Updating/Patching vulnerabilities in products"
              RedshiftClusterPublicAccessCheck:
                Controls: [ '3562', '3623', '7466' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: redshift-cluster-public-access-check
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::Redshift::Cluster
                  Source:
                    Owner: AWS
                    SourceIdentifier: REDSHIFT_CLUSTER_PUBLIC_ACCESS_CHECK
                  Description: "MUST 19.1.12.C.01[CID:3562], SHOULD 19.1.14.C.02[CID:3623], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways: (Configuration of gateways and Demilitarised zones..."
              RedshiftRequireTlsSsl:
                Controls: [ '2090', '4839' ]
                Type: AWS::Config::ConfigRule
                Properties:
                   ConfigRuleName: redshift-require-tls-ssl
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::Redshift::Cluster
                  Source:
                    Owner: AWS
                    SourceIdentifier: REDSHIFT_REQUIRE_TLS_SSL
                  Description: "MUST 17.1.55.C.02[CID:2090], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Information and Systems Protection and Enterprise systems security..."
              RestrictedSsh:
                Controls: [ '2726' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: restricted-ssh
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::EC2::SecurityGroup
                  Source:
                    Owner: AWS
                    SourceIdentifier: INCOMING_SSH_DISABLED
                  Description: "SHOULD 17.5.8.C.02[CID:2726]| Cryptography/Secure Shell/Automated remote access"
              RootAccountHardwareMfaEnabled:
                Controls: [ '1841', '6843', '6953', '7436', '7437' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: root-account-hardware-mfa-enabled
                  Source:
                    Owner: AWS
                    SourceIdentifier: ROOT_ACCOUNT_HARDWARE_MFA_ENABLED
                  Description: "SHOULD 16.1.35.C.02[CID:1841], SHOULD 16.4.31.C.02[CID:6843], SHOULD 16.7.34.C.02[CID:6953], MUST 23.3.19.C.01[CID:7436], MUST 23.3.19.C.01[CID:7437]| Access Control a..."
              RootAccountMfaEnabled:
                Controls: [ '1841', '7436', '7437' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: root-account-mfa-enabled
                  Source:
                    Owner: AWS
                    SourceIdentifier: ROOT_ACCOUNT_MFA_ENABLED
                  Description: "SHOULD 16.1.35.C.02[CID:1841], MUST 23.3.19.C.01[CID:7436], MUST 23.3.19.C.01[CID:7437]| Access Control and Passwords/Identification, Authentication and Passwords/Meth..."
              S3AccountLevelPublicAccessBlocksPeriodic:
                Controls: [ '3562', '4838', '7466' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: s3-account-level-public-access-blocks-periodic
                  Source:
                    Owner: AWS
                    SourceIdentifier: S3_ACCOUNT_LEVEL_PUBLIC_ACCESS_BLOCKS_PERIODIC
                  Description: "MUST 19.1.12.C.01[CID:3562], SHOULD 22.1.24.C.03[CID:4838], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Enterprise systems se..."
              S3BucketPublicReadProhibited:
                Controls: [ '4838' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: s3-bucket-public-read-prohibited
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::S3::Bucket
                  Source:
                    Owner: AWS
                    SourceIdentifier: S3_BUCKET_PUBLIC_READ_PROHIBITED
                  Description: "SHOULD 22.1.24.C.03[CID:4838]| Enterprise systems security/Cloud Computing/Unauthorised Access"
              S3BucketPublicWriteProhibited:
                Controls: [ '4838' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: s3-bucket-public-write-prohibited
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::S3::Bucket
                  Source:
                    Owner: AWS
                    SourceIdentifier: S3_BUCKET_PUBLIC_WRITE_PROHIBITED
                  Description: "SHOULD 22.1.24.C.03[CID:4838]| Enterprise systems security/Cloud Computing/Unauthorised Access"
              S3BucketServerSideEncryptionEnabled:
                Controls: [ '2082' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: s3-bucket-server-side-encryption-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::S3::Bucket
                  Source:
                    Owner: AWS
                    SourceIdentifier: S3_BUCKET_SERVER_SIDE_ENCRYPTION_ENABLED
                  Description: "SHOULD 17.1.53.C.04[CID:2082]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements"
              S3BucketSslRequestsOnly:
                Controls: [ '4839' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: s3-bucket-ssl-requests-only
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::S3::Bucket
                  Source:
                    Owner: AWS
                    SourceIdentifier: S3_BUCKET_SSL_REQUESTS_ONLY
                  Description: "SHOULD 22.1.24.C.04[CID:4839]| Enterprise systems security/Cloud Computing/Unauthorised Access"
              SagemakerEndpointConfigurationKmsKeyConfigured:
                Controls: [ '4839' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: sagemaker-endpoint-configuration-kms-key-configured
                  Source:
                    Owner: AWS
                    SourceIdentifier: SAGEMAKER_ENDPOINT_CONFIGURATION_KMS_KEY_CONFIGURED
                  Description: "SHOULD 22.1.24.C.04[CID:4839]| Enterprise systems security/Cloud Computing/Unauthorised Access"
              SagemakerNotebookInstanceKmsKeyConfigured:
                Controls: [ '4839' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: sagemaker-notebook-instance-kms-key-configured
                  Source:
                    Owner: AWS
                    SourceIdentifier: SAGEMAKER_NOTEBOOK_INSTANCE_KMS_KEY_CONFIGURED
                  Description: "SHOULD 22.1.24.C.04[CID:4839]| Enterprise systems security/Cloud Computing/Unauthorised Access"
              SagemakerNotebookNoDirectInternetAccess:
                Controls: [ '3562', '7466' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: sagemaker-notebook-no-direct-internet-access
                  Source:
                    Owner: AWS
                    SourceIdentifier: SAGEMAKER_NOTEBOOK_NO_DIRECT_INTERNET_ACCESS
                  Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..."
              SecretsmanagerUsingCmk:
                Controls: [ '4839' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: secretsmanager-using-cmk
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::SecretsManager::Secret
                  Source:
                    Owner: AWS
                    SourceIdentifier: SECRETSMANAGER_USING_CMK
                  Description: "SHOULD 22.1.24.C.04[CID:4839]| Enterprise systems security/Cloud Computing/Unauthorised Access"
              SecurityhubEnabled:
                Controls: [ '3875' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: securityhub-enabled
                  Source:
                    Owner: AWS
                    SourceIdentifier: SECURITYHUB_ENABLED
                  Description: "SHOULD 18.4.12.C.01[CID:3875]| Network security/Intrusion Detection and Prevention/Event management and correlation"
              SsmDocumentNotPublic:
                Controls: [ '7466' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: ssm-document-not-public
                  Source:
                    Owner: AWS
                    SourceIdentifier: SSM_DOCUMENT_NOT_PUBLIC
                  Description: "MUST 23.4.10.C.01[CID:7466]| Public Cloud Security/Data Protection in Public Cloud/Data accessibility"
              VpcDefaultSecurityGroupClosed:
                Controls: [ '3562', '7466' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: vpc-default-security-group-closed
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::EC2::SecurityGroup
                  Source:
                    Owner: AWS
                    SourceIdentifier: VPC_DEFAULT_SECURITY_GROUP_CLOSED
                  Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..."
              VpcFlowLogsEnabled:
                Controls: [ '3562', '7466' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: vpc-flow-logs-enabled
                  Source:
                    Owner: AWS
                    SourceIdentifier: VPC_FLOW_LOGS_ENABLED
                  Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..."
              VpcSgOpenOnlyToAuthorizedPorts:
                Controls: [ '3205' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: vpc-sg-open-only-to-authorized-ports
                  InputParameters:
                    authorizedTcpPorts: '443'
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::EC2::SecurityGroup
                  Source:
                    Owner: AWS
                    SourceIdentifier: VPC_SG_OPEN_ONLY_TO_AUTHORIZED_PORTS
                  Description: "SHOULD 18.1.13.C.02[CID:3205]| Network security/Network Management/Limiting network access"
              Wafv2LoggingEnabled:
                Controls: [ '2013', '7496' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: wafv2-logging-enabled
                  Source:
                    Owner: AWS
                    SourceIdentifier: WAFV2_LOGGING_ENABLED
                  Description: "SHOULD 16.6.10.C.02[CID:2013], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords/Event Logging and Auditing/Additional events to be logged and Public Cloud Se..."

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Migliori pratiche operative per NZISM 3.9 (estensione)

Best practice operative per NZISM 3.9 (transizione in Nuova Zelanda)