Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Best practice operative per NZISM 3.9 (transizione in Nuova Zelanda)
I Conformance Pack forniscono un framework di conformità generico progettato per consentirti di creare controlli di governance di sicurezza, operativi o di ottimizzazione dei costi utilizzando regole gestite o personalizzate e azioni correttive. AWS Config AWS Config I pacchetti di conformità, in quanto modelli di esempio, non sono pensati per garantire la piena conformità a uno specifico standard di governance o conformità. È tua responsabilità valutare autonomamente se l'utilizzo dei Servizi soddisfa i requisiti legali e normativi applicabili.
Di seguito viene fornito un esempio di mappatura tra il Manuale sulla sicurezza delle informazioni (NZISM) 2025-11 versione 3.9 del Government Communications Security Bureau (GCSB) della Nuova Zelanda e le regole
Questo modello di pacchetto di conformità di esempio contiene mappature ai controlli all'interno del framework NZISM, parte integrante del framework Protective Security Requirements (PSR) che definisce le aspettative del governo neozelandese relativamente alla gestione del personale, delle informazioni e della sicurezza fisica.
La parte Foundation di questo pacchetto di conformità può essere distribuita a Sydney e nelle regioni del mondo. La parte NZ Transition contiene il sottoinsieme di regole Foundation Config attualmente disponibili nella regione Nuova Zelanda. La parte relativa alla Fondazione non verrà attualmente distribuita nella regione della Nuova Zelanda. La parte Extension di questo pacchetto di conformità può essere implementata nelle regioni di Sydney e Nuova Zelanda per aumentare le regole di Config fornite nelle parti Foundation e NZ Transition.
Il NZISM è concesso in licenza con la licenza Creative Commons Attribution 4.0 Nuova Zelanda, disponibile all'indirizzo. https://creativecommons.org/licenses/by/4.0/
| ID controllo | Descrizione del controllo | Regola AWS Config | Linee guida |
|---|---|---|---|
| 1661 | Sicurezza del software, sviluppo di applicazioni Web, contenuto del sito Web dell'Agenzia (14.5.6. C.01.) | Questo controllo verifica se una CloudFront distribuzione Amazon è configurata per restituire un oggetto specifico che è l'oggetto root predefinito. Il controllo fallisce se nella CloudFront distribuzione non è configurato un oggetto root predefinito. A volte un utente può richiedere l'URL principale della distribuzione anziché un oggetto nella distribuzione. In tal caso, la specifica di un oggetto root predefinito può contribuire a evitare l'esposizione dei contenuti della distribuzione Web. Questa regola deve essere applicata nella regione us-east-1. Esegui la distribuzione con il parametro template DeployEdgeRules = true | |
| 1667 | Sicurezza del software, sviluppo di applicazioni Web, applicazioni Web (14.5.8. C.01.) | Garantisci che l'integrità della rete sia protetta assicurando che i certificati X509 siano emessi da AWS ACM. Questi certificati devono essere validi e non scaduti. Questa regola richiede un valore per giorni. ToExpiration Il valore è 30 giorni. | |
| 1667 | Sicurezza del software, sviluppo di applicazioni Web, applicazioni Web (14.5.8. C.01.) | Assicurati che Elastic Load Balancer (ELB) sia configurato con ascoltatori SSL o HTTPS. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 1847 | Controllo degli accessi e password, identificazione, autenticazione e password, protezione dei dati di autenticazione in transito (16.1.37. C.01.) | Per proteggere i dati in transito, assicurati che l'Application Load Balancer reindirizzi automaticamente le richieste HTTP non crittografate verso HTTPS. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 1847 | Controllo degli accessi e password, identificazione, autenticazione e password, protezione dei dati di autenticazione in transito (16.1.37. C.01.) | Questo controllo verifica se una CloudFront distribuzione Amazon richiede agli spettatori di utilizzare direttamente HTTPS o se utilizza il reindirizzamento. Il controllo ha esito negativo se ViewerProtocolPolicy è impostato su allow-all per default CacheBehavior o per CacheBehaviors. Puoi utilizzare HTTPS (TLS) per impedire a potenziali aggressori di utilizzare attacchi di tipo person-in-the-middle o simili per intercettare o manipolare traffico di rete. Devono essere consentite solo le connessioni crittografate tramite HTTPS (TLS). Questa regola deve essere applicata nella regione us-east-1. Esegui la distribuzione con il parametro template = true DeployEdgeRules | |
| 1847 | Controllo degli accessi e password, identificazione, autenticazione e password, protezione dei dati di autenticazione in transito (16.1.37. C.01.) | Questo controllo verifica se i domini Elasticsearch hanno la crittografia da nodo a nodo abilitata. Questo controllo ha esito negativo se la crittografia da nodo a nodo è disabilitata nel dominio. HTTPS (TLS) può essere utilizzato per impedire a potenziali aggressori di intercettare o manipolare il traffico di rete utilizzando attacchi person-in-the-middle o simili. Devono essere consentite solo le connessioni crittografate tramite HTTPS (TLS). L'abilitazione della crittografia da nodo a nodo per i domini Elasticsearch garantisce che le comunicazioni all'interno del cluster siano crittografate in transito. | |
| 1847 | Controllo degli accessi e password, identificazione, autenticazione e password, protezione dei dati di autenticazione in transito (16.1.37. C.01.) | Assicurati che Elastic Load Balancer (ELB) sia configurato con ascoltatori SSL o HTTPS. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 1998 | Controllo degli accessi e password, registrazione e verifica degli eventi, manutenzione dei registri di gestione del sistema (16.6.6. C.02.) | È necessario eseguire la configurazione CloudTrail con CloudWatch Logs per monitorare i registri dei percorsi e ricevere notifiche quando si verificano attività specifiche. Questa regola verifica se i CloudTrail trail AWS sono configurati per inviare log ai log di Amazon CloudWatch . | |
| 1998 | Controllo degli accessi e password, registrazione e verifica degli eventi, manutenzione dei registri di gestione del sistema (16.6.6. C.02.) | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di gestione AWS e le chiamate API. Puoi identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono disponibili all'interno di AWS CloudTrail Record Contents. | |
| 1998 | Controllo degli accessi e password, registrazione e verifica degli eventi, manutenzione dei registri di gestione del sistema (16.6.6. C.02.) | Assicurati che i dati dei log degli eventi vengano mantenuti per una durata minima per i gruppi di log in modo da agevolare la risoluzione dei problemi e le indagini forensi. La mancata disponibilità dei dati dei log degli eventi passati rende difficile la ricostruzione e l'identificazione di eventi potenzialmente dannosi. La conservazione minima è di 18 mesi. | |
| 2013 | Controllo degli accessi e password, registrazione e verifica degli eventi, eventi aggiuntivi da registrare (16.6.10. C.02.) | Questo controllo verifica se la registrazione degli accessi al server è abilitata sulle CloudFront distribuzioni. Il controllo fallisce se la registrazione degli accessi non è abilitata per una distribuzione. CloudFront i registri di accesso forniscono informazioni dettagliate su ogni richiesta utente ricevuta CloudFront . Ogni log contiene informazioni come la data e l'ora di ricezione della richiesta, l'indirizzo IP del visualizzatore che ha effettuato la richiesta, l'origine della richiesta e il numero di porta della richiesta del visualizzatore. Questi log sono utili per applicazioni quali audit di sicurezza e accesso e indagini forensi. Questa regola deve essere applicata nella regione us-east-1. Esegui la distribuzione con il parametro template = true DeployEdgeRules | |
| 2013 | Controllo degli accessi e password, registrazione e verifica degli eventi, eventi aggiuntivi da registrare (16.6.10. C.02.) | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di gestione AWS e le chiamate API. Puoi identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono disponibili all'interno di AWS CloudTrail Record Contents. | |
| 2013 | Controllo degli accessi e password, registrazione e verifica degli eventi, eventi aggiuntivi da registrare (16.6.10. C.02.) | L'attività di Elastic Load Balancing è un punto di comunicazione centrale all'interno di un ambiente. Assicurati che la registrazione di log di ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate a ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server. | |
| 2013 | Controllo degli accessi e password, registrazione e verifica degli eventi, eventi aggiuntivi da registrare (16.6.10. C.02.) | Per facilitare la registrazione di log e il monitoraggio nel tuo ambiente, assicurati che la registrazione di log di Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione di log di Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate. | |
| 2022 | Controllo degli accessi e password, registrazione e controllo degli eventi, protezione dei registri degli eventi (16.6.12. C.01.) | Utilizza la convalida dei file di CloudTrail registro AWS per verificare l'integrità dei CloudTrail log. La convalida dei file di registro aiuta a determinare se un file di registro è stato modificato o eliminato o è rimasto invariato dopo la consegna. CloudTrail Questa funzionalità è creata utilizzando algoritmi standard del settore: SHA-256 per l'hashing e SHA-256 con RSA per la firma digitale. Ciò rende computazionalmente impossibile modificare, eliminare o falsificare i file di registro senza essere rilevati. CloudTrail | |
| 2022 | Controllo degli accessi e password, registrazione e controllo degli eventi, protezione dei registri degli eventi (16.6.12. C.01.) | Per proteggere i dati sensibili archiviati, assicurati che la crittografia sia abilitata per i tuoi Amazon CloudWatch Log Groups. | |
| 2028 | Controllo degli accessi e password, registrazione e controllo degli eventi, archivi dei registri degli eventi (16.6.13. C.01.) | Assicurati che i dati dei log degli eventi vengano mantenuti per una durata minima per i gruppi di log in modo da agevolare la risoluzione dei problemi e le indagini forensi. La mancata disponibilità dei dati dei log degli eventi passati rende difficile la ricostruzione e l'identificazione di eventi potenzialmente dannosi. La conservazione minima è di 18 mesi. | |
| 2082 | Crittografia, fondamenti crittografici, riduzione dei requisiti di archiviazione e trasferimento fisico (17.1.53. C.04.) | Poiché possono esistere dati sensibili e per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi CloudTrail percorsi AWS. | |
| 2082 | Crittografia, fondamenti crittografici, riduzione dei requisiti di archiviazione e trasferimento fisico (17.1.53. C.04.) | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). Data la possibile presenza di dati sensibili a riposo in questi volumi, abilita la crittografia a riposo per proteggere tali dati. | |
| 2082 | Crittografia, fondamenti crittografici, riduzione dei requisiti di archiviazione e trasferimento fisico (17.1.53. C.04.) | Data la possibile presenza di dati sensibili e per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per Amazon Elastic File System (EFS). | |
| 2082 | Crittografia, fondamenti crittografici, riduzione dei requisiti di archiviazione e trasferimento fisico (17.1.53. C.04.) | Questo controllo verifica se i domini Elasticsearch hanno la configurazione di crittografia a riposo abilitata. Il controllo non riesce se la crittografia dei dati inattivi non è abilitata. Per un ulteriore livello di sicurezza per i dati sensibili, è necessario configurare il dominio Elasticsearch Service in modo che venga crittografato quando è inattivo. Quando configuri la crittografia dei dati inattivi, Amazon Key Management Service (KMS) archivia e gestisce le tue chiavi di crittografia. Per eseguire la crittografia, AWS KMS utilizza l'algoritmo Advanced Encryption Standard con chiavi a 256 bit (). AES-256 | |
| 2082 | Crittografia, fondamenti crittografici, riduzione dei requisiti di archiviazione e trasferimento fisico (17.1.53. C.04.) | Data la possibile presenza di dati sensibili e per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). | |
| 2082 | Crittografia, fondamenti crittografici, riduzione dei requisiti di archiviazione e trasferimento fisico (17.1.53. C.04.) | Assicurati che la crittografia sia abilitata per gli snapshot Amazon Relational Database Service (Amazon RDS). Data la possibile presenza di dati sensibili a riposo, abilita la crittografia a riposo per proteggere tali dati. | |
| 2082 | Crittografia, fondamenti crittografici, riduzione dei requisiti di archiviazione e trasferimento fisico (17.1.53. C.04.) | Per aiutare a proteggere i dati a riposo, assicurati che la crittografia sia abilitata per le istanze Amazon Relational Database Service (Amazon RDS). Data la possibile presenza di dati sensibili a riposo nelle istanze Amazon RDS, abilita la crittografia a riposo per proteggere tali dati. | |
| 2082 | Crittografia, fondamenti crittografici, riduzione dei requisiti di archiviazione e trasferimento fisico (17.1.53. C.04.) | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Data la possibile presenza di dati sensibili a riposo nei bucket Amazon S3, abilita la crittografia per proteggere tali dati. | |
| 2090 | Crittografia, fondamenti crittografici, protezione delle informazioni e dei sistemi (17.1.55. C.02.) | Per proteggere i dati in transito, assicurati che l'Application Load Balancer reindirizzi automaticamente le richieste HTTP non crittografate verso HTTPS. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 2090 | Crittografia, fondamenti crittografici, protezione delle informazioni e dei sistemi (17.1.55. C.02.) | Assicurati che Elastic Load Balancer (ELB) sia configurato con ascoltatori SSL o HTTPS. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 2090 | Crittografia, fondamenti crittografici, protezione delle informazioni e dei sistemi (17.1.55. C.02.) | Assicurati che i tuoi cluster Amazon Redshift richiedano la TLS/SSL crittografia per connettersi ai client SQL. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 2598 | Crittografia, Transport Layer Security, utilizzo di TLS (17.4.16. C.01.) | Per proteggere i dati in transito, assicurati che i tuoi listener ElasticLoadBalancer SSL Classic utilizzino una politica di sicurezza personalizzata. Queste policy possono fornire diversi algoritmi crittografici ad alta resistenza per contribuire a garantire comunicazioni di rete crittografate tra i sistemi. Questa regola richiede l'impostazione di una policy di sicurezza personalizzata per gli ascoltatori SSL. La politica di sicurezza è: Protocol-TLSv1.2,. ECDHE-ECDSA-AES256-GCM-SHA384 | |
| 2600 | Crittografia, sicurezza del livello di trasporto, utilizzo di TLS (17.4.16. C.02.) | Per proteggere i dati in transito, assicurati che i tuoi listener ElasticLoadBalancer SSL Classic utilizzino una politica di sicurezza personalizzata. Queste policy possono fornire diversi algoritmi crittografici ad alta resistenza per contribuire a garantire comunicazioni di rete crittografate tra i sistemi. Questa regola richiede l'impostazione di una policy di sicurezza personalizzata per gli ascoltatori SSL. La politica di sicurezza predefinita è: Protocol-TLSv1.2,. ECDHE-ECDSA-AES256-GCM-SHA384 | |
| 2726 | Crittografia, Secure Shell, Accesso remoto automatizzato (17.5.8. C.02.) | I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtraggio stateful del traffico di rete in ingresso e in uscita verso le risorse AWS. Non è consentito il traffico in ingresso (o remoto) a partire dalla versione 0.0.0. 0/0 la porta 22 sulle tue risorse ti aiuta a limitare l'accesso remoto. | |
| 3021 | Crittografia, gestione delle chiavi, contenuti dei KMP (17.9.25. C.01.) | Amazon Key Management Service (KMS) consente ai clienti di ruotare la chiave di supporto, che è materiale chiave archiviato in AWS KMS ed è legato all'ID chiave della CMK. È la chiave di supporto utilizzata per eseguire operazioni di crittografia, ad esempio la crittografia e la decrittografia. Al momento, la rotazione automatica delle chiavi conserva tutte le chiavi di supporto precedenti, in modo che la decrittografia di dati crittografati possa essere eseguita in modo trasparente. La rotazione delle chiavi di crittografia consente di ridurre l'impatto potenziale di una chiave compromessa perché i dati crittografati con una nuova chiave non sono accessibili con una chiave precedente che potrebbe essere stata esposta. | |
| 3205 | Sicurezza della rete, gestione della rete, limitazione dell'accesso alla rete (18.1.13. C.02.) | Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate sui gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2). La mancata limitazione dell'accesso alle porte a origini attendibili può essere causa di attacchi alla disponibilità, all'integrità e alla riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0. 0/0) l'accesso remoto può essere controllato ai sistemi interni. L'elenco delle porte Internet autorizzate è: solo 443 | |
| 3449 | Sicurezza del prodotto, applicazione di patch e aggiornamento del prodotto, correzione delle vulnerabilità nei prodotti (12.4.4. C.02.) | Questa regola garantisce che i cluster Amazon Redshift abbiano le impostazioni preferite per la tua organizzazione. In particolare, hanno finestre di manutenzione preferite e periodi di conservazione automatica degli snapshot per il database. Questo set di regole consente VersionUpgrade a TRUE. | |
| 3452 | Sicurezza del prodotto, applicazione di patch e aggiornamento del prodotto, applicazione di patch alle vulnerabilità nei prodotti (12.4.4. C.05.) | Questo controllo verifica se gli aggiornamenti automatici delle versioni secondarie sono abilitati per l'istanza del database RDS. L'abilitazione degli aggiornamenti automatici delle versioni secondarie garantisce l'installazione degli ultimi aggiornamenti delle versioni secondarie del sistema di gestione del database relazionale (RDBMS). Questi aggiornamenti potrebbero includere patch di sicurezza e correzioni di bug. Mantenersi aggiornati sull'installazione delle patch è un passaggio importante per proteggere i sistemi. | |
| 3453 | Sicurezza del prodotto, applicazione di patch e aggiornamento dei prodotti, correzione delle vulnerabilità nei prodotti (12.4.4. C.06.) | Questa regola garantisce che i cluster Amazon Redshift abbiano le impostazioni preferite per la tua organizzazione. In particolare, hanno finestre di manutenzione preferite e periodi di conservazione automatica degli snapshot per il database. Questo set di regole consente VersionUpgrade a TRUE. | |
| 3562 | Sicurezza dei gateway, gateway, configurazione dei gateway (19.1.12. C.01.) | Questo controllo verifica se CloudFront le distribuzioni sono associate agli ACL web AWS WAF o AWS WAFv2. Il controllo fallisce se la distribuzione non è associata a un ACL web. AWS WAF è un firewall per applicazioni Web che consente di proteggere le applicazioni Web e le API dagli attacchi. Consente di configurare un set di regole denominato lista di controllo degli accessi Web (ACL web) per consentire, bloccare o contare le richieste Web in base a condizioni e regole di sicurezza Web personalizzabili definite dall'utente. Assicurati che la tua CloudFront distribuzione sia associata a un ACL web AWS WAF per proteggerla da attacchi dannosi. Questa regola deve essere applicata nella regione us-east-1. Esegui la distribuzione con il parametro template = true DeployEdgeRules | |
| 3562 | Sicurezza dei gateway, gateway, configurazione dei gateway (19.1.12. C.01.) | Gestisci l'accesso al cloud AWS assicurando che le istanze di replica di AWS Database Migration Service (DMS) non siano accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| 3562 | Sicurezza dei gateway, gateway, configurazione dei gateway (19.1.12. C.01.) | Assicurati che il metodo del servizio di metadati di istanza versione 2 (IMDSv2) sia abilitato per proteggere l'accesso e il controllo dei metadati delle istanze Amazon Elastic Compute Cloud (Amazon EC2). Il metodo IMDSv2 utilizza controlli basati sulla sessione. Con IMDSv2, puoi implementare controlli per limitare le modifiche ai metadati delle istanze. | |
| 3562 | Sicurezza dei gateway, gateway, configurazione dei gateway (19.1.12. C.01.) | Gestisci l'accesso al cloud AWS assicurando che le istanze Amazon Elastic Compute Cloud (Amazon EC2) non siano accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| 3562 | Sicurezza dei gateway, gateway, configurazione dei gateway (19.1.12. C.01.) | Implementa istanze Amazon Elastic Compute Cloud (Amazon EC2) in un Amazon Virtual Private Cloud (Amazon VPC) per abilitare la comunicazione sicura tra un'istanza e altri servizi all'interno di Amazon VPC, senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso. | |
| 3562 | Sicurezza dei gateway, gateway, configurazione dei gateway (19.1.12. C.01.) | Questo controllo verifica se i domini Elasticsearch si trovano in un cloud privato virtuale (VPC). Non valuta la configurazione del routing della sottorete VPC per determinare l'accesso pubblico. È necessario assicurarsi che i domini Elasticsearch non siano collegati a sottoreti pubbliche. I domini Elasticsearch distribuiti all'interno di un VPC possono comunicare con le risorse VPC sulla rete AWS privata, senza la necessità di attraversare la rete Internet pubblica. Questa configurazione aumenta il livello di sicurezza limitando l'accesso ai dati in transito. I VPC forniscono una serie di controlli di rete per proteggere l'accesso ai domini Elasticsearch, inclusi ACL di rete e gruppi di sicurezza | |
| 3562 | Sicurezza dei gateway, gateway, configurazione dei gateway (19.1.12. C.01.) | Gestisci l'accesso alle risorse nel cloud AWS assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| 3562 | Sicurezza dei gateway, gateway, configurazione dei gateway (19.1.12. C.01.) | Gestisci l'accesso alle risorse nel cloud AWS assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| 3562 | Sicurezza dei gateway, gateway, configurazione dei gateway (19.1.12. C.01.) | Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola imposta ignore PublicAcls su TRUE, block PublicPolicy su TRUE, block PublicAcls su TRUE e limit PublicBuckets su TRUE. | |
| 3562 | Sicurezza dei gateway, gateway, configurazione dei gateway (19.1.12. C.01.) | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtraggio stateful del traffico di rete in ingresso e in uscita verso le risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS. | |
| 3562 | Sicurezza dei gateway, gateway, configurazione dei gateway (19.1.12. C.01.) | I log di flusso del cloud privato virtuale (VPC) forniscono record dettagliati per informazioni sul traffico IP in entrata e in uscita dalle interfacce di rete nel tuo Amazon VPC. Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo. | |
| 3623 | Sicurezza dei gateway, gateway, zone demilitarizzate (19.1.14. C.02.) | Questo controllo verifica se i domini Elasticsearch si trovano in un cloud privato virtuale (VPC). Non valuta la configurazione del routing della sottorete VPC per determinare l'accesso pubblico. È necessario assicurarsi che i domini Elasticsearch non siano collegati a sottoreti pubbliche. I domini Elasticsearch distribuiti all'interno di un VPC possono comunicare con le risorse VPC sulla rete AWS privata, senza la necessità di attraversare la rete Internet pubblica. Questa configurazione aumenta il livello di sicurezza limitando l'accesso ai dati in transito. I VPC forniscono una serie di controlli di rete per proteggere l'accesso ai domini Elasticsearch, inclusi ACL di rete e gruppi di sicurezza | |
| 3623 | Sicurezza dei gateway, gateway, zone demilitarizzate (19.1.14. C.02.) | Gestisci l'accesso alle risorse nel cloud AWS assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| 3623 | Sicurezza dei gateway, gateway, zone demilitarizzate (19.1.14. C.02.) | Gestisci l'accesso alle risorse nel cloud AWS assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| 3875 | Sicurezza di rete, rilevamento e prevenzione delle intrusioni, gestione degli eventi e correlazione (18.4.12. C.01.) | AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. AWS Security Hub aggrega, organizza e dà priorità agli avvisi di sicurezza, o risultati, provenienti da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner. | |
| 4441 | Gestione dei dati, database, file di database (20.4.4. C.02.) | Questo controllo verifica se i domini Elasticsearch hanno la configurazione di crittografia a riposo abilitata. Il controllo non riesce se la crittografia dei dati inattivi non è abilitata. Per un ulteriore livello di sicurezza per i dati sensibili, è necessario configurare il dominio Elasticsearch Service in modo che venga crittografato quando è inattivo. Quando configuri la crittografia dei dati inattivi, Amazon Key Management Service (KMS) archivia e gestisce le tue chiavi di crittografia. Per eseguire la crittografia, AWS KMS utilizza l'algoritmo Advanced Encryption Standard con chiavi a 256 bit (). AES-256 | |
| 4441 | Gestione dei dati, database, file di database (20.4.4. C.02.) | Per facilitare la registrazione di log e il monitoraggio nel tuo ambiente, assicurati che la registrazione di log di Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione di log di Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate. | |
| 441 | Gestione dei dati, database, file di database (20.4.4. C.02.) | Assicurati che la crittografia sia abilitata per gli snapshot Amazon Relational Database Service (Amazon RDS). Data la possibile presenza di dati sensibili a riposo, abilita la crittografia a riposo per proteggere tali dati. | |
| 441 | Gestione dei dati, database, file di database (20.4.4. C.02.) | Gestisci l'accesso alle risorse nel cloud AWS assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| 4441 | Gestione dei dati, database, file di database (20.4.4. C.02.) | Per aiutare a proteggere i dati a riposo, assicurati che la crittografia sia abilitata per le istanze Amazon Relational Database Service (Amazon RDS). Data la possibile presenza di dati sensibili a riposo nelle istanze Amazon RDS, abilita la crittografia a riposo per proteggere tali dati. | |
| 441 | Gestione dei dati, database, file di database (20.4.4. C.02.) | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola imposta cluster DbEncrypted su TRUE e LoggingEnabled su TRUE. | |
| 4445 | Gestione dei dati, database, responsabilità (20.4.5. C.02.) | Per facilitare la registrazione di log e il monitoraggio nel tuo ambiente, assicurati che la registrazione di log di Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione di log di Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate. | |
| 4445 | Gestione dei dati, database, responsabilità (20.4.5. C.02.) | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola imposta cluster DbEncrypted su TRUE e LoggingEnabled su TRUE. | |
| 4829 | Sicurezza dei sistemi aziendali, cloud computing, disponibilità del sistema (22.1.23. C.01.) | La scalabilità automatica di Amazon DynamoDB utilizza il servizio AWS Application Auto Scaling per regolare la capacità di throughput assegnata che risponde automaticamente ai modelli di traffico effettivi. Ciò consente a una tabella o a un indice secondario globale di aumentare la read/write capacità assegnata per gestire aumenti improvvisi del traffico, senza limitazioni. | |
| 4829 | Sicurezza dei sistemi aziendali, cloud computing, disponibilità del sistema (22.1.23. C.01.) | Abilita il bilanciamento del carico tra zone per gli Elastic Load Balancer (ELB) per mantenere capacità e disponibilità adeguate. Il bilanciamento del carico tra zone riduce la necessità di mantenere numeri equivalenti di istanze in ciascuna zona di disponibilità abilitata. Inoltre, migliora le capacità della tua applicazione di gestire la perdita di una o più istanze. | |
| 4838 | Sicurezza dei sistemi aziendali, cloud computing, accesso non autorizzato (22.1.24. C.03.) | La raccolta di eventi di dati di Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono le informazioni sull'account AWS che ha effettuato l'accesso a un bucket Amazon S3, l'indirizzo IP e l'ora dell'evento. | |
| 4838 | Sicurezza dei sistemi aziendali, cloud computing, accesso non autorizzato (22.1.24. C.03.) | Gestisci l'accesso al cloud AWS assicurando che le snapshot di Amazon Elastic Block Store (EBS) non siano ripristinabili pubblicamente. Gli snapshot dei volumi EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| 4838 | Sicurezza dei sistemi aziendali, cloud computing, accesso non autorizzato (22.1.24. C.03.) | Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola imposta ignore PublicAcls su TRUE, block PublicPolicy su TRUE, block PublicAcls su TRUE e limit PublicBuckets su TRUE. | |
| 4838 | Sicurezza dei sistemi aziendali, cloud computing, accesso non autorizzato (22.1.24. C.03.) | Gestisci l'accesso alle risorse nel cloud AWS permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| 4838 | Sicurezza dei sistemi aziendali, cloud computing, accesso non autorizzato (22.1.24. C.03.) | Gestisci l'accesso alle risorse nel cloud AWS permettendo solo a utenti, processi e dispositivi autorizzati di accedere ai bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso deve essere coerente con la classificazione dei dati. | |
| 4839 | Sicurezza dei sistemi aziendali, cloud computing, accesso non autorizzato (22.1.24. C.04.) | Assicurati che la crittografia sia abilitata per le tabelle Amazon DynamoDB. Data la possibile presenza di dati sensibili a riposo in queste tabelle, abilita la crittografia a riposo per proteggere tali dati. Per impostazione predefinita, le tabelle DynamoDB sono crittografate con una chiave Amazon Key Management Service (KMS) di proprietà di AWS. | |
| 4839 | Sicurezza dei sistemi aziendali, cloud computing, accesso non autorizzato (22.1.24. C.04.) | Data la possibile presenza di dati sensibili e per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per Amazon Elastic File System (EFS). | |
| 4839 | Sicurezza dei sistemi aziendali, cloud computing, accesso non autorizzato (22.1.24. C.04.) | Questo controllo verifica se i domini Elasticsearch hanno la configurazione di crittografia a riposo abilitata. Il controllo non riesce se la crittografia dei dati inattivi non è abilitata. Per un ulteriore livello di sicurezza per i dati sensibili, è necessario configurare il dominio Elasticsearch Service in modo che venga crittografato quando è inattivo. Quando configuri la crittografia dei dati inattivi, Amazon Key Management Service (KMS) archivia e gestisce le tue chiavi di crittografia. Per eseguire la crittografia, AWS KMS utilizza l'algoritmo Advanced Encryption Standard con chiavi a 256 bit (). AES-256 | |
| 4839 | Sicurezza dei sistemi aziendali, cloud computing, accesso non autorizzato (22.1.24. C.04.) | Questo controllo verifica se i domini Elasticsearch hanno la crittografia da nodo a nodo abilitata. Questo controllo ha esito negativo se la crittografia da nodo a nodo è disabilitata nel dominio. HTTPS (TLS) può essere utilizzato per impedire a potenziali aggressori di intercettare o manipolare il traffico di rete utilizzando attacchi person-in-the-middle o simili. Devono essere consentite solo le connessioni crittografate tramite HTTPS (TLS). L'abilitazione della crittografia da nodo a nodo per i domini Elasticsearch garantisce che le comunicazioni all'interno del cluster siano crittografate in transito. | |
| 4839 | Sicurezza dei sistemi aziendali, cloud computing, accesso non autorizzato (22.1.24. C.04.) | Assicurati che Elastic Load Balancer (ELB) sia configurato con ascoltatori SSL o HTTPS. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 4839 | Sicurezza dei sistemi aziendali, cloud computing, accesso non autorizzato (22.1.24. C.04.) | Data la possibile presenza di dati sensibili e per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). | |
| 4839 | Sicurezza dei sistemi aziendali, cloud computing, accesso non autorizzato (22.1.24. C.04.) | Assicurati che la crittografia sia abilitata per gli snapshot Amazon Relational Database Service (Amazon RDS). Data la possibile presenza di dati sensibili a riposo, abilita la crittografia a riposo per proteggere tali dati. | |
| 4839 | Sicurezza dei sistemi aziendali, cloud computing, accesso non autorizzato (22.1.24. C.04.) | Per aiutare a proteggere i dati a riposo, assicurati che la crittografia sia abilitata per le istanze Amazon Relational Database Service (Amazon RDS). Data la possibile presenza di dati sensibili a riposo nelle istanze Amazon RDS, abilita la crittografia a riposo per proteggere tali dati. | |
| 4839 | Sicurezza dei sistemi aziendali, cloud computing, accesso non autorizzato (22.1.24. C.04.) | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. Devi inoltre verificare che le configurazioni richieste siano implementate sui cluster Amazon Redshift. La registrazione di log di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola imposta cluster DbEncrypted su TRUE e LoggingEnabled su TRUE. | |
| 4839 | Sicurezza dei sistemi aziendali, cloud computing, accesso non autorizzato (22.1.24. C.04.) | Assicurati che i tuoi cluster Amazon Redshift richiedano la TLS/SSL crittografia per connettersi ai client SQL. Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 4839 | Sicurezza dei sistemi aziendali, cloud computing, accesso non autorizzato (22.1.24. C.04.) | Per aiutare a proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) richiedano l'utilizzo di Secure Socket Layer (SSL). Poiché possono essere presenti dati sensibili, abilita la crittografia dei dati in transito per proteggere tali dati. | |
| 4839 | Sicurezza dei sistemi aziendali, cloud computing, accesso non autorizzato (22.1.24. C.04.) | Per proteggere i dati archiviati, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per i segreti di AWS Secrets Manager. Data la possibile presenza di dati sensibili a riposo nei segreti di Secrets Manager, abilita la crittografia a riposo per proteggere tali dati. | |
| 4849 | Sicurezza dei sistemi aziendali, cloud computing, backup, ripristino, archiviazione e conservazione dei dati (22.1.26. C.01.) | La funzionalità di backup di Amazon Relational Database Service (RDS) crea backup dei database e dei log delle transazioni. Amazon RDS crea automaticamente uno snapshot di archiviazione del volume dell'istanza database, eseguendo il backup dell'intera istanza. Il sistema consente di impostare periodi di conservazione specifici per soddisfare i requisiti di resilienza. | |
| 4849 | Sicurezza dei sistemi aziendali, cloud computing, backup, ripristino, archiviazione e conservazione dei dati (22.1.26. C.01.) | Abilita questa regola per verificare che sia stato eseguito il backup delle informazioni. Inoltre, gestisce i backup garantendo che il ripristino point-in-time sia abilitato in Amazon DynamoDB. Il ripristino mantiene i backup continui della tabella degli ultimi 35 giorni. | |
| 4849 | Sicurezza dei sistemi aziendali, cloud computing, backup, ripristino, archiviazione e conservazione dei dati (22.1.26. C.01.) | Quando i backup automatici sono abilitati, Amazon ElastiCache crea un backup del cluster su base giornaliera. Il backup può essere mantenuto per un certo numero di giorni, come specificato dall'organizzazione. I backup automatici possono fornire protezione da perdita di dati. Se si verifica un errore, puoi creare un nuovo cluster, che ripristina i dati dal backup più recente. | |
| 4849 | Sicurezza dei sistemi aziendali, cloud computing, backup, ripristino, archiviazione e conservazione dei dati (22.1.26. C.01.) | Assicurati che le istanze di Amazon Relational Database Service (RDS) abbiano la protezione da eliminazione abilitata. Utilizza la protezione dall'eliminazione per evitare che le istanze RDS vengano eliminate accidentalmente o intenzionalmente, il che può portare alla perdita di disponibilità delle applicazioni. | |
| 4849 | Sicurezza dei sistemi aziendali, cloud computing, backup, ripristino, archiviazione e conservazione dei dati (22.1.26. C.01.) | Assicurati che per le istanze di Amazon Relational Database Service (Amazon RDS) sia abilitata la protezione da eliminazione. Utilizza la protezione da eliminazione per evitare che le istanze Amazon RDS vengano eliminate accidentalmente o intenzionalmente, con conseguente perdita di disponibilità delle applicazioni. | |
| 4849 | Sicurezza dei sistemi aziendali, cloud computing, backup, ripristino, archiviazione e conservazione dei dati (22.1.26. C.01.) | Per facilitare i processi di backup dei dati, assicurati che i cluster Amazon Redshift dispongano di snapshot automatizzati. Quando gli snapshot automatici sono abilitati per un cluster, Amazon Redshift esegue periodicamente l'acquisizione degli snapshot per quel cluster. Per impostazione predefinita, Redshift acquisisce uno snapshot ogni otto ore o ogni 5 GB per nodo di modifiche ai dati, a seconda di quale situazione si verifichi prima. | |
| 6860 | Controllo degli accessi e password, gestione degli accessi privilegiati, monitoraggio e revisione (16.4.35. C.02.) | È necessario eseguire la configurazione CloudTrail con CloudWatch Logs per monitorare i registri dei percorsi e ricevere notifiche quando si verificano attività specifiche. Questa regola verifica se i CloudTrail trail AWS sono configurati per inviare log ai log di Amazon CloudWatch . | |
| 6860 | Controllo degli accessi e password, gestione degli accessi privilegiati, monitoraggio e revisione (16.4.35. C.02.) | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di gestione AWS e le chiamate API. Puoi identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono disponibili all'interno di AWS CloudTrail Record Contents. | |
| 6861 | Controllo degli accessi e password, gestione degli accessi privilegiati, monitoraggio e revisione (16.4.35. C.03.) | Questa regola aiuta a garantire l'uso delle best practice di sicurezza consigliate da AWS per AWS CloudTrail, verificando l'abilitazione di più impostazioni. Questi includono l'uso della crittografia dei log, la convalida dei log e l'abilitazione di AWS CloudTrail in più regioni. | |
| 7466 | Sicurezza nel cloud pubblico, protezione dei dati nel cloud pubblico, accessibilità dei dati (23.4.10. C.01.) | Gestisci l'accesso al cloud AWS assicurando che le istanze di replica di AWS Database Migration Service (DMS) non siano accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| 7466 | Sicurezza nel cloud pubblico, protezione dei dati nel cloud pubblico, accessibilità dei dati (23.4.10. C.01.) | Assicurati che il metodo del servizio di metadati di istanza versione 2 (IMDSv2) sia abilitato per proteggere l'accesso e il controllo dei metadati delle istanze Amazon Elastic Compute Cloud (Amazon EC2). Il metodo IMDSv2 utilizza controlli basati sulla sessione. Con IMDSv2, puoi implementare controlli per limitare le modifiche ai metadati delle istanze. | |
| 7466 | Sicurezza nel cloud pubblico, protezione dei dati nel cloud pubblico, accessibilità dei dati (23.4.10. C.01.) | Gestisci l'accesso al cloud AWS assicurando che le istanze Amazon Elastic Compute Cloud (Amazon EC2) non siano accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi. | |
| 7466 | Sicurezza nel cloud pubblico, protezione dei dati nel cloud pubblico, accessibilità dei dati (23.4.10. C.01.) | Implementa istanze Amazon Elastic Compute Cloud (Amazon EC2) all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per consentire comunicazioni sicure tra un'istanza e altri servizi all'interno di Amazon VPC, senza richiedere un gateway Internet, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un Amazon VPC hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso. | |
| 7466 | Sicurezza nel cloud pubblico, protezione dei dati nel cloud pubblico, accessibilità dei dati (23.4.10. C.01.) | Questo controllo verifica se i domini Elasticsearch si trovano in un cloud privato virtuale (VPC). Non valuta la configurazione del routing della sottorete VPC per determinare l'accesso pubblico. È necessario assicurarsi che i domini Elasticsearch non siano collegati a sottoreti pubbliche. I domini Elasticsearch distribuiti all'interno di un VPC possono comunicare con le risorse VPC sulla rete AWS privata, senza la necessità di attraversare la rete Internet pubblica. Questa configurazione aumenta il livello di sicurezza limitando l'accesso ai dati in transito. I VPC forniscono una serie di controlli di rete per proteggere l'accesso ai domini Elasticsearch, inclusi ACL di rete e gruppi di sicurezza | |
| 7466 | Sicurezza nel cloud pubblico, protezione dei dati nel cloud pubblico, accessibilità dei dati (23.4.10. C.01.) | Gestisci l'accesso alle risorse nel cloud AWS assicurandoti che le istanze di Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze database Amazon RDS possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| 7466 | Sicurezza nel cloud pubblico, protezione dei dati nel cloud pubblico, accessibilità dei dati (23.4.10. C.01.) | Gestisci l'accesso alle risorse nel cloud AWS assicurandoti che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e per tali account è necessario il controllo degli accessi. | |
| 7466 | Sicurezza nel cloud pubblico, protezione dei dati nel cloud pubblico, accessibilità dei dati (23.4.10. C.01.) | Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non siano accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola imposta ignore PublicAcls su TRUE, block PublicPolicy su TRUE, block PublicAcls su TRUE e limit PublicBuckets su TRUE. | |
| 7466 | Sicurezza nel cloud pubblico, protezione dei dati nel cloud pubblico, accessibilità dei dati (23.4.10. C.01.) | Assicurati che i documenti di AWS Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni su account, risorse e processi interni. | |
| 7466 | Sicurezza nel cloud pubblico, protezione dei dati nel cloud pubblico, accessibilità dei dati (23.4.10. C.01.) | I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtraggio stateful del traffico di rete in ingresso e in uscita verso le risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS. | |
| 7466 | Sicurezza nel cloud pubblico, protezione dei dati nel cloud pubblico, accessibilità dei dati (23.4.10. C.01.) | I log di flusso del cloud privato virtuale (VPC) forniscono record dettagliati per informazioni sul traffico IP in entrata e in uscita dalle interfacce di rete nel tuo Amazon VPC. Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo. | |
| 7496 | Sicurezza nel cloud pubblico, registrazione e avvisi nel cloud pubblico, requisiti di registrazione (23.5.11. C.01.) | Utilizza la convalida dei file di CloudTrail registro AWS per verificare l'integrità dei CloudTrail log. La convalida dei file di registro aiuta a determinare se un file di registro è stato modificato o eliminato o è rimasto invariato dopo la consegna. CloudTrail Questa funzionalità è creata utilizzando algoritmi standard del settore: SHA-256 per l'hashing e SHA-256 con RSA per la firma digitale. Ciò rende computazionalmente impossibile modificare, eliminare o falsificare i file di registro senza essere rilevati. CloudTrail | |
| 7496 | Sicurezza nel cloud pubblico, registrazione e avvisi nel cloud pubblico, requisiti di registrazione (23.5.11. C.01.) | Questo controllo verifica se la registrazione degli accessi al server è abilitata sulle CloudFront distribuzioni. Il controllo fallisce se la registrazione degli accessi non è abilitata per una distribuzione. CloudFront i registri di accesso forniscono informazioni dettagliate su ogni richiesta utente ricevuta CloudFront . Ogni log contiene informazioni come la data e l'ora di ricezione della richiesta, l'indirizzo IP del visualizzatore che ha effettuato la richiesta, l'origine della richiesta e il numero di porta della richiesta del visualizzatore. Questi log sono utili per applicazioni quali audit di sicurezza e accesso e indagini forensi. Questa regola deve essere applicata nella regione us-east-1. | |
| 7496 | Sicurezza nel cloud pubblico, registrazione e avvisi nel cloud pubblico, requisiti di registrazione (23.5.11. C.01.) | AWS CloudTrail può contribuire a evitare il ripudio registrando le azioni della Console di gestione AWS e le chiamate API. Puoi identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine da cui sono state generate le chiamate e gli orari delle chiamate. I dettagli dei dati acquisiti sono disponibili all'interno di AWS CloudTrail Record Contents. | |
| 7496 | Sicurezza nel cloud pubblico, registrazione e avvisi nel cloud pubblico, requisiti di registrazione (23.5.11. C.01.) | Per proteggere i dati sensibili archiviati, assicurati che la crittografia sia abilitata per i tuoi Amazon CloudWatch Log Groups. | |
| 7496 | Sicurezza nel cloud pubblico, registrazione e avvisi nel cloud pubblico, requisiti di registrazione (23.5.11. C.01.) | L'attività di Elastic Load Balancing è un punto di comunicazione centrale all'interno di un ambiente. Assicurati che la registrazione di log di ELB sia abilitata. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate a ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server. | |
| 7496 | Sicurezza nel cloud pubblico, registrazione e avvisi nel cloud pubblico, requisiti di registrazione (23.5.11. C.01.) | Per facilitare la registrazione di log e il monitoraggio nel tuo ambiente, assicurati che la registrazione di log di Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione di log di Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle interrogate. | |
| 7545 | Controllo degli accessi e password, identificazione, autenticazione e autenticazione, password e policy (16.1.31. C.02.) | Le modifiche annuali della password sono necessarie sui sistemi che non hanno implementato l'autenticazione a più fattori (MFA) o l'autenticazione senza password. Poiché questo pacchetto di conformità contiene la regola di Config abilitata per iam-user-mfa, questo controllo garantisce la modifica della password ogni tre anni. | |
| 7546 | Controllo degli accessi e password, identificazione, autenticazione e autenticazione, password e policy (16.1.31. C.03.) | Garantire una lunghezza minima della password di 16 caratteri (ad esempio quattro parole). Le password devono essere lunghe, sicure e uniche. Non viene applicato alcun requisito di complessità esplicito (ad esempio numeri o caratteri speciali), tuttavia le password devono essere uniche o casuali e possono includere caratteri e numeri speciali a tal fine. |
Modello
################################################################################## # # Conformance Pack: # Operational Best Practices for NZISM NZ Transition # # This conformance pack helps verify compliance with NZISM requirements. # ################################################################################## Resources: AcmCertificateExpirationCheck: Controls: [ '1667' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: acm-certificate-expiration-check InputParameters: daysToExpiration: '30' Scope: ComplianceResourceTypes: - AWS::ACM::Certificate Source: Owner: AWS SourceIdentifier: ACM_CERTIFICATE_EXPIRATION_CHECK Description: "SHOULD 14.5.8.C.01[CID:1667]| Software security/Web Application Development/Web applications" AlbHttpToHttpsRedirectionCheck: Controls: [ '1847', '2090' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: alb-http-to-https-redirection-check Source: Owner: AWS SourceIdentifier: ALB_HTTP_TO_HTTPS_REDIRECTION_CHECK Description: "MUST 16.1.37.C.01[CID:1847], MUST 17.1.55.C.02[CID:2090]| Access Control and Passwords/Identification, Authentication and Passwords/Protecting authentication data in t..." CloudTrailCloudWatchLogsEnabled: Controls: [ '1998', '6860' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloud-trail-cloud-watch-logs-enabled Source: Owner: AWS SourceIdentifier: CLOUD_TRAIL_CLOUD_WATCH_LOGS_ENABLED Description: "SHOULD 16.6.6.C.02[CID:1998], MUST 16.4.35.C.02[CID:6860]| Access Control and Passwords: (Event Logging and Auditing/Maintaining system management logs and Privileged..." CloudTrailEncryptionEnabled: Controls: [ '2082' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloud-trail-encryption-enabled Source: Owner: AWS SourceIdentifier: CLOUD_TRAIL_ENCRYPTION_ENABLED Description: "SHOULD 17.1.53.C.04[CID:2082]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements" CloudTrailLogFileValidationEnabled: Controls: [ '2022', '7496' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloud-trail-log-file-validation-enabled Source: Owner: AWS SourceIdentifier: CLOUD_TRAIL_LOG_FILE_VALIDATION_ENABLED Description: "MUST 16.6.12.C.01[CID:2022], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords/Event Logging and Auditing/Event log protection and Public Cloud Security/Loggi..." CloudfrontAccesslogsEnabled: Condition: IsEdge Controls: [ '2013', '7496' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloudfront-accesslogs-enabled Source: Owner: AWS SourceIdentifier: CLOUDFRONT_ACCESSLOGS_ENABLED Description: "SHOULD 16.6.10.C.02[CID:2013], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords/Event Logging and Auditing/Additional events to be logged and Public Cloud Se..." CloudfrontAssociatedWithWaf: Condition: IsEdge Controls: [ '3562' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloudfront-associated-with-waf Source: Owner: AWS SourceIdentifier: CLOUDFRONT_ASSOCIATED_WITH_WAF Description: "MUST 19.1.12.C.01[CID:3562]| Gateway security/Gateways/Configuration of gateways" CloudfrontDefaultRootObjectConfigured: Condition: IsEdge Controls: [ '1661' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloudfront-default-root-object-configured Source: Owner: AWS SourceIdentifier: CLOUDFRONT_DEFAULT_ROOT_OBJECT_CONFIGURED Description: "SHOULD 14.5.6.C.01[CID:1661]| Software security/Web Application Development/Agency website content" CloudfrontViewerPolicyHttps: Condition: IsEdge Controls: [ '1847' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloudfront-viewer-policy-https Source: Owner: AWS SourceIdentifier: CLOUDFRONT_VIEWER_POLICY_HTTPS Description: "MUST 16.1.37.C.01[CID:1847]| Access Control and Passwords/Identification, Authentication and Passwords/Protecting authentication data in transit" CloudtrailEnabled: Controls: [ '1998', '2013', '6860', '7496' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloudtrail-enabled Source: Owner: AWS SourceIdentifier: CLOUD_TRAIL_ENABLED Description: "SHOULD 16.6.6.C.02[CID:1998], SHOULD 16.6.10.C.02[CID:2013], MUST 16.4.35.C.02[CID:6860], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords: (Event Logging and..." CloudtrailS3DataeventsEnabled: Controls: [ '4838' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloudtrail-s3-dataevents-enabled Source: Owner: AWS SourceIdentifier: CLOUDTRAIL_S3_DATAEVENTS_ENABLED Description: "SHOULD 22.1.24.C.03[CID:4838]| Enterprise systems security/Cloud Computing/Unauthorised Access" CloudtrailSecurityTrailEnabled: Controls: [ '6861' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloudtrail-security-trail-enabled Source: Owner: AWS SourceIdentifier: CLOUDTRAIL_SECURITY_TRAIL_ENABLED Description: "MUST 16.4.35.C.03[CID:6861]| Access Control and Passwords/Privileged Access Management/Monitoring and Review" CloudwatchLogGroupEncrypted: Controls: [ '2022', '7496' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloudwatch-log-group-encrypted Source: Owner: AWS SourceIdentifier: CLOUDWATCH_LOG_GROUP_ENCRYPTED Description: "MUST 16.6.12.C.01[CID:2022], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords/Event Logging and Auditing/Event log protection and Public Cloud Security/Loggi..." CmkBackingKeyRotationEnabled: Controls: [ '3021' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cmk-backing-key-rotation-enabled Source: Owner: AWS SourceIdentifier: CMK_BACKING_KEY_ROTATION_ENABLED Description: "SHOULD 17.9.25.C.01[CID:3021]| Cryptography/Key Management/Contents of KMPs" CwLoggroupRetentionPeriodCheck: Controls: [ '1998', '2028' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cw-loggroup-retention-period-check InputParameters: MinRetentionTime: '545' Source: Owner: AWS SourceIdentifier: CW_LOGGROUP_RETENTION_PERIOD_CHECK Description: "SHOULD 16.6.6.C.02[CID:1998], MUST 16.6.13.C.01[CID:2028]| Access Control and Passwords/Event Logging and Auditing: (Maintaining system management logs and Event log ..." DbInstanceBackupEnabled: Controls: [ '4849' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: db-instance-backup-enabled Scope: ComplianceResourceTypes: - AWS::RDS::DBInstance Source: Owner: AWS SourceIdentifier: DB_INSTANCE_BACKUP_ENABLED Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence" DmsReplicationNotPublic: Controls: [ '3562', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: dms-replication-not-public Source: Owner: AWS SourceIdentifier: DMS_REPLICATION_NOT_PUBLIC Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..." DynamodbAutoscalingEnabled: Controls: [ '4829' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: dynamodb-autoscaling-enabled Scope: ComplianceResourceTypes: - AWS::DynamoDB::Table Source: Owner: AWS SourceIdentifier: DYNAMODB_AUTOSCALING_ENABLED Description: "MUST 22.1.23.C.01[CID:4829]| Enterprise systems security/Cloud Computing/System Availability" DynamodbPitrEnabled: Controls: [ '4849' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: dynamodb-pitr-enabled Scope: ComplianceResourceTypes: - AWS::DynamoDB::Table Source: Owner: AWS SourceIdentifier: DYNAMODB_PITR_ENABLED Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence" DynamodbTableEncryptedKms: Controls: [ '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: dynamodb-table-encrypted-kms Scope: ComplianceResourceTypes: - AWS::DynamoDB::Table Source: Owner: AWS SourceIdentifier: DYNAMODB_TABLE_ENCRYPTED_KMS Description: "SHOULD 22.1.24.C.04[CID:4839]| Enterprise systems security/Cloud Computing/Unauthorised Access" EbsSnapshotPublicRestorableCheck: Controls: [ '4838' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: ebs-snapshot-public-restorable-check Source: Owner: AWS SourceIdentifier: EBS_SNAPSHOT_PUBLIC_RESTORABLE_CHECK Description: "SHOULD 22.1.24.C.03[CID:4838]| Enterprise systems security/Cloud Computing/Unauthorised Access" Ec2EbsEncryptionByDefault: Controls: [ '2082' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: ec2-ebs-encryption-by-default Source: Owner: AWS SourceIdentifier: EC2_EBS_ENCRYPTION_BY_DEFAULT Description: "SHOULD 17.1.53.C.04[CID:2082]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements" Ec2Imdsv2Check: Controls: [ '3562', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: ec2-imdsv2-check Scope: ComplianceResourceTypes: - AWS::EC2::Instance Source: Owner: AWS SourceIdentifier: EC2_IMDSV2_CHECK Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..." Ec2InstanceNoPublicIp: Controls: [ '3562', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: ec2-instance-no-public-ip Scope: ComplianceResourceTypes: - AWS::EC2::Instance Source: Owner: AWS SourceIdentifier: EC2_INSTANCE_NO_PUBLIC_IP Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..." Ec2InstancesInVpc: Controls: [ '3562', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: ec2-instances-in-vpc Scope: ComplianceResourceTypes: - AWS::EC2::Instance Source: Owner: AWS SourceIdentifier: INSTANCES_IN_VPC Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..." EfsEncryptedCheck: Controls: [ '2082', '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: efs-encrypted-check Source: Owner: AWS SourceIdentifier: EFS_ENCRYPTED_CHECK Description: "SHOULD 17.1.53.C.04[CID:2082], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements and Enterpri..." ElasticacheRedisClusterAutomaticBackupCheck: Controls: [ '4849' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: elasticache-redis-cluster-automatic-backup-check Source: Owner: AWS SourceIdentifier: ELASTICACHE_REDIS_CLUSTER_AUTOMATIC_BACKUP_CHECK Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence" ElasticsearchEncryptedAtRest: Controls: [ '2082', '4441', '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: elasticsearch-encrypted-at-rest Source: Owner: AWS SourceIdentifier: ELASTICSEARCH_ENCRYPTED_AT_REST Description: "SHOULD 17.1.53.C.04[CID:2082], SHOULD 20.4.4.C.02[CID:4441], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical trans..." ElasticsearchInVpcOnly: Controls: [ '3562', '3623', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: elasticsearch-in-vpc-only Source: Owner: AWS SourceIdentifier: ELASTICSEARCH_IN_VPC_ONLY Description: "MUST 19.1.12.C.01[CID:3562], SHOULD 19.1.14.C.02[CID:3623], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways: (Configuration of gateways and Demilitarised zones..." ElasticsearchNodeToNodeEncryptionCheck: Controls: [ '1847', '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: elasticsearch-node-to-node-encryption-check Scope: ComplianceResourceTypes: - AWS::Elasticsearch::Domain Source: Owner: AWS SourceIdentifier: ELASTICSEARCH_NODE_TO_NODE_ENCRYPTION_CHECK Description: "MUST 16.1.37.C.01[CID:1847], SHOULD 22.1.24.C.04[CID:4839]| Access Control and Passwords/Identification, Authentication and Passwords/Protecting authentication data in..." ElbCrossZoneLoadBalancingEnabled: Controls: [ '4829' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: elb-cross-zone-load-balancing-enabled Scope: ComplianceResourceTypes: - AWS::ElasticLoadBalancing::LoadBalancer Source: Owner: AWS SourceIdentifier: ELB_CROSS_ZONE_LOAD_BALANCING_ENABLED Description: "MUST 22.1.23.C.01[CID:4829]| Enterprise systems security/Cloud Computing/System Availability" ElbCustomSecurityPolicySslCheck: Controls: [ '2598', '2600' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: elb-custom-security-policy-ssl-check InputParameters: sslProtocolsAndCiphers: 'Protocol-TLSv1.2,ECDHE-ECDSA-AES256-GCM-SHA384' Scope: ComplianceResourceTypes: - AWS::ElasticLoadBalancing::LoadBalancer Source: Owner: AWS SourceIdentifier: ELB_CUSTOM_SECURITY_POLICY_SSL_CHECK Description: "SHOULD 17.4.16.C.01[CID:2598], SHOULD NOT 17.4.16.C.02[CID:2600]| Cryptography/Transport Layer Security/Using TLS" ElbLoggingEnabled: Controls: [ '2013', '7496' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: elb-logging-enabled Scope: ComplianceResourceTypes: - AWS::ElasticLoadBalancing::LoadBalancer - AWS::ElasticLoadBalancingV2::LoadBalancer Source: Owner: AWS SourceIdentifier: ELB_LOGGING_ENABLED Description: "SHOULD 16.6.10.C.02[CID:2013], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords/Event Logging and Auditing/Additional events to be logged and Public Cloud Se..." ElbTlsHttpsListenersOnly: Controls: [ '1667', '1847', '2090', '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: elb-tls-https-listeners-only Scope: ComplianceResourceTypes: - AWS::ElasticLoadBalancing::LoadBalancer Source: Owner: AWS SourceIdentifier: ELB_TLS_HTTPS_LISTENERS_ONLY Description: "SHOULD 14.5.8.C.01[CID:1667], MUST 16.1.37.C.01[CID:1847], MUST 17.1.55.C.02[CID:2090], SHOULD 22.1.24.C.04[CID:4839]| Software security/Web Application Development/We..." EncryptedVolumes: Controls: [ '2082', '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: encrypted-volumes Scope: ComplianceResourceTypes: - AWS::EC2::Volume Source: Owner: AWS SourceIdentifier: ENCRYPTED_VOLUMES Description: "SHOULD 17.1.53.C.04[CID:2082], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements and Enterpri..." IamPasswordPolicy: Controls: [ '7545', '7546' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: iam-password-policy InputParameters: MaxPasswordAge: '1095' MinimumPasswordLength: '16' PasswordReusePrevention: '24' RequireUppercaseCharacters: 'false' RequireLowercaseCharacters: 'false' RequireSymbols: 'false' RequireNumbers: 'false' Source: Owner: AWS SourceIdentifier: IAM_PASSWORD_POLICY Description: "MUST 16.1.31.C.02[CID:7545], MUST 16.1.31.C.03[CID:7546]| Access Control and Passwords/Identification, Authentication and Authentication/Passwords and policy" RdsAutomaticMinorVersionUpgradeEnabled: Controls: [ '3452' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: rds-automatic-minor-version-upgrade-enabled Scope: ComplianceResourceTypes: - AWS::RDS::DBInstance Source: Owner: AWS SourceIdentifier: RDS_AUTOMATIC_MINOR_VERSION_UPGRADE_ENABLED Description: "SHOULD 12.4.4.C.05[CID:3452]| Product Security/Product Patching and Updating/Patching vulnerabilities in products" RdsClusterDeletionProtectionEnabled: Controls: [ '4849' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: rds-cluster-deletion-protection-enabled Scope: ComplianceResourceTypes: - AWS::RDS::DBCluster Source: Owner: AWS SourceIdentifier: RDS_CLUSTER_DELETION_PROTECTION_ENABLED Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence" RdsInstanceDeletionProtectionEnabled: Controls: [ '4849' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: rds-instance-deletion-protection-enabled Scope: ComplianceResourceTypes: - AWS::RDS::DBInstance Source: Owner: AWS SourceIdentifier: RDS_INSTANCE_DELETION_PROTECTION_ENABLED Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence" RdsInstancePublicAccessCheck: Controls: [ '3562', '3623', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: rds-instance-public-access-check Scope: ComplianceResourceTypes: - AWS::RDS::DBInstance Source: Owner: AWS SourceIdentifier: RDS_INSTANCE_PUBLIC_ACCESS_CHECK Description: "MUST 19.1.12.C.01[CID:3562], SHOULD 19.1.14.C.02[CID:3623], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways: (Configuration of gateways and Demilitarised zones..." RdsLoggingEnabled: Controls: [ '2013', '4441', '4445', '7496' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: rds-logging-enabled Scope: ComplianceResourceTypes: - AWS::RDS::DBInstance Source: Owner: AWS SourceIdentifier: RDS_LOGGING_ENABLED Description: "SHOULD 16.6.10.C.02[CID:2013], SHOULD 20.4.4.C.02[CID:4441], SHOULD 20.4.5.C.02[CID:4445], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords/Event Logging and ..." RdsSnapshotEncrypted: Controls: [ '2082', '4441', '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: rds-snapshot-encrypted Scope: ComplianceResourceTypes: - AWS::RDS::DBSnapshot - AWS::RDS::DBClusterSnapshot Source: Owner: AWS SourceIdentifier: RDS_SNAPSHOT_ENCRYPTED Description: "SHOULD 17.1.53.C.04[CID:2082], SHOULD 20.4.4.C.02[CID:4441], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical trans..." RdsSnapshotsPublicProhibited: Controls: [ '4441' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: rds-snapshots-public-prohibited Scope: ComplianceResourceTypes: - AWS::RDS::DBSnapshot - AWS::RDS::DBClusterSnapshot Source: Owner: AWS SourceIdentifier: RDS_SNAPSHOTS_PUBLIC_PROHIBITED Description: "SHOULD 20.4.4.C.02[CID:4441]| Data management/Databases/Database files" RdsStorageEncrypted: Controls: [ '2082', '4441', '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: rds-storage-encrypted Scope: ComplianceResourceTypes: - AWS::RDS::DBInstance Source: Owner: AWS SourceIdentifier: RDS_STORAGE_ENCRYPTED Description: "SHOULD 17.1.53.C.04[CID:2082], SHOULD 20.4.4.C.02[CID:4441], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical trans..." RedshiftBackupEnabled: Controls: [ '4849' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: redshift-backup-enabled Scope: ComplianceResourceTypes: - AWS::Redshift::Cluster Source: Owner: AWS SourceIdentifier: REDSHIFT_BACKUP_ENABLED Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence" RedshiftClusterConfigurationCheck: Controls: [ '4441', '4445', '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: redshift-cluster-configuration-check InputParameters: clusterDbEncrypted: 'true' loggingEnabled: 'true' Scope: ComplianceResourceTypes: - AWS::Redshift::Cluster Source: Owner: AWS SourceIdentifier: REDSHIFT_CLUSTER_CONFIGURATION_CHECK Description: "SHOULD 20.4.4.C.02[CID:4441], SHOULD 20.4.5.C.02[CID:4445], SHOULD 22.1.24.C.04[CID:4839]| Data management/Databases: (Database files and Accountability) and Enterpr..." RedshiftClusterMaintenancesettingsCheck: Controls: [ '3449', '3453' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: redshift-cluster-maintenancesettings-check InputParameters: allowVersionUpgrade: 'true' Scope: ComplianceResourceTypes: - AWS::Redshift::Cluster Source: Owner: AWS SourceIdentifier: REDSHIFT_CLUSTER_MAINTENANCESETTINGS_CHECK Description: "MUST 12.4.4.C.02[CID:3449], SHOULD 12.4.4.C.06[CID:3453]| Product Security/Product Patching and Updating/Patching vulnerabilities in products" RedshiftClusterPublicAccessCheck: Controls: [ '3562', '3623', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: redshift-cluster-public-access-check Scope: ComplianceResourceTypes: - AWS::Redshift::Cluster Source: Owner: AWS SourceIdentifier: REDSHIFT_CLUSTER_PUBLIC_ACCESS_CHECK Description: "MUST 19.1.12.C.01[CID:3562], SHOULD 19.1.14.C.02[CID:3623], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways: (Configuration of gateways and Demilitarised zones..." RedshiftRequireTlsSsl: Controls: [ '2090', '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: redshift-require-tls-ssl Scope: ComplianceResourceTypes: - AWS::Redshift::Cluster Source: Owner: AWS SourceIdentifier: REDSHIFT_REQUIRE_TLS_SSL Description: "MUST 17.1.55.C.02[CID:2090], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Information and Systems Protection and Enterprise systems security..." RestrictedSsh: Controls: [ '2726' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: restricted-ssh Scope: ComplianceResourceTypes: - AWS::EC2::SecurityGroup Source: Owner: AWS SourceIdentifier: INCOMING_SSH_DISABLED Description: "SHOULD 17.5.8.C.02[CID:2726]| Cryptography/Secure Shell/Automated remote access" S3AccountLevelPublicAccessBlocksPeriodic: Controls: [ '3562', '4838', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: s3-account-level-public-access-blocks-periodic Source: Owner: AWS SourceIdentifier: S3_ACCOUNT_LEVEL_PUBLIC_ACCESS_BLOCKS_PERIODIC Description: "MUST 19.1.12.C.01[CID:3562], SHOULD 22.1.24.C.03[CID:4838], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Enterprise systems se..." S3BucketPublicReadProhibited: Controls: [ '4838' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: s3-bucket-public-read-prohibited Scope: ComplianceResourceTypes: - AWS::S3::Bucket Source: Owner: AWS SourceIdentifier: S3_BUCKET_PUBLIC_READ_PROHIBITED Description: "SHOULD 22.1.24.C.03[CID:4838]| Enterprise systems security/Cloud Computing/Unauthorised Access" S3BucketPublicWriteProhibited: Controls: [ '4838' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: s3-bucket-public-write-prohibited Scope: ComplianceResourceTypes: - AWS::S3::Bucket Source: Owner: AWS SourceIdentifier: S3_BUCKET_PUBLIC_WRITE_PROHIBITED Description: "SHOULD 22.1.24.C.03[CID:4838]| Enterprise systems security/Cloud Computing/Unauthorised Access" S3BucketServerSideEncryptionEnabled: Controls: [ '2082' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: s3-bucket-server-side-encryption-enabled Scope: ComplianceResourceTypes: - AWS::S3::Bucket Source: Owner: AWS SourceIdentifier: S3_BUCKET_SERVER_SIDE_ENCRYPTION_ENABLED Description: "SHOULD 17.1.53.C.04[CID:2082]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements" S3BucketSslRequestsOnly: Controls: [ '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: s3-bucket-ssl-requests-only Scope: ComplianceResourceTypes: - AWS::S3::Bucket Source: Owner: AWS SourceIdentifier: S3_BUCKET_SSL_REQUESTS_ONLY Description: "SHOULD 22.1.24.C.04[CID:4839]| Enterprise systems security/Cloud Computing/Unauthorised Access" SecretsmanagerUsingCmk: Controls: [ '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: secretsmanager-using-cmk Scope: ComplianceResourceTypes: - AWS::SecretsManager::Secret Source: Owner: AWS SourceIdentifier: SECRETSMANAGER_USING_CMK Description: "SHOULD 22.1.24.C.04[CID:4839]| Enterprise systems security/Cloud Computing/Unauthorised Access" SecurityhubEnabled: Controls: [ '3875' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: securityhub-enabled Source: Owner: AWS SourceIdentifier: SECURITYHUB_ENABLED Description: "SHOULD 18.4.12.C.01[CID:3875]| Network security/Intrusion Detection and Prevention/Event management and correlation" SsmDocumentNotPublic: Controls: [ '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: ssm-document-not-public Source: Owner: AWS SourceIdentifier: SSM_DOCUMENT_NOT_PUBLIC Description: "MUST 23.4.10.C.01[CID:7466]| Public Cloud Security/Data Protection in Public Cloud/Data accessibility" VpcDefaultSecurityGroupClosed: Controls: [ '3562', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: vpc-default-security-group-closed Scope: ComplianceResourceTypes: - AWS::EC2::SecurityGroup Source: Owner: AWS SourceIdentifier: VPC_DEFAULT_SECURITY_GROUP_CLOSED Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..." VpcFlowLogsEnabled: Controls: [ '3562', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: vpc-flow-logs-enabled Source: Owner: AWS SourceIdentifier: VPC_FLOW_LOGS_ENABLED Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..." VpcSgOpenOnlyToAuthorizedPorts: Controls: [ '3205' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: vpc-sg-open-only-to-authorized-ports InputParameters: authorizedTcpPorts: '443' Scope: ComplianceResourceTypes: - AWS::EC2::SecurityGroup Source: Owner: AWS SourceIdentifier: VPC_SG_OPEN_ONLY_TO_AUTHORIZED_PORTS Description: "SHOULD 18.1.13.C.02[CID:3205]| Network security/Network Management/Limiting network access"
