Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Playbook [Questa soluzione include le soluzioni playbook per gli standard di sicurezza definiti come parte del [Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0](https://docs.aws.amazon.com/securityhub/latest/userguide/cis-aws-foundations-benchmark.html#cis1v2-standard), [CIS AWS Foundations Benchmark v3.0.0, AWS Foundational Security Best Practices (FSBP) v.1.0.0](https://docs.aws.amazon.com/securityhub/latest/userguide/cis-aws-foundations-benchmark.html#cis1v4-standard)[[, [Payment](https://docs.aws.amazon.com/securityhub/latest/userguide/pci-standard.html) Card Industry Data Security Standard (PCI-DSS)](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html) v3.2.1](https://docs.aws.amazon.com/securityhub/latest/userguide/cis-aws-foundations-benchmark.html#cis3v0-standard) e National Institute of Standards e tecnologia (NIST).](https://docs.aws.amazon.com/securityhub/latest/userguide/nist-standard.html) Se hai abilitato i risultati dei controlli consolidati, tali controlli sono supportati in tutti gli standard. Se questa funzionalità è abilitata, è necessario implementare solo il playbook SC. In caso contrario, i playbook sono supportati per gli standard elencati in precedenza. **Importante** Implementa i playbook solo per gli standard abilitati per evitare di raggiungere le quote di servizio. Per i dettagli su una soluzione specifica, consulta il documento di automazione Systems Manager con il nome distribuito dalla soluzione nel tuo account. Vai alla [console AWS Systems Manager](https://console.aws.amazon.com/systems-manager/), quindi nel pannello di navigazione scegli **Documenti**. | Description | AWS FSBP | CIS versione 1.2.0 | PCI versione 3.2.1 | CIS versione 1.4.0 | NIST | CIS versione 3.0.0 | ID di controllo di sicurezza | | --- | --- | --- | --- | --- | --- | --- | --- | | **Rimediazioni totali** | 63 | 34 | 29 | 33 | 65 | 19 | 90 | | **ASR- Verifica EnableAutoScalingGroup ELBHealth** I gruppi di Auto Scaling associati a un sistema di bilanciamento del carico devono utilizzare i controlli dello stato del sistema di bilanciamento del carico. | Scalabilità automatica.1 | | Scalabilità automatica.1 | | Scalabilità automatica.1 | | Scalabilità automatica.1 | | **ASR- ConfigureAutoScalingLaunchConfigToRequire IMDSv2** Le configurazioni di avvio del gruppo Auto Scaling devono configurare le EC2 istanze in modo da richiedere Instance Metadata Service versione 2 () IMDSv2 | | | | | Scalabilità automatica.3 | | Scalabilità automatica.3 | | **ASR- CreateCloudTrailMultiRegionTrail** CloudTrail deve essere attivato e configurato con almeno un percorso multiregionale | CloudTrail1. | 2.1 | CloudTrail2. | 3.1 | CloudTrail1. | 3.1 | CloudTrail1. | | **ASR- EnableEncryption** CloudTrail dovrebbe avere la crittografia a riposo attivata | CloudTrail2. | 2.7 | CloudTrail1. | 3.7 | CloudTrail2. | 3.5 | CloudTrail2. | | **ASR- EnableLogFileValidation** Assicurati che la convalida dei file di CloudTrail registro sia attivata | CloudTrail4. | 2.2 | CloudTrail3. | 3.2 | CloudTrail4. | | CloudTrail4. | | **ASR- EnableCloudTrailToCloudWatchLogging** Assicurati che i CloudTrail percorsi siano integrati con Amazon CloudWatch Logs | CloudTrail5. | 2.4 | CloudTrail4. | 3.4 | CloudTrail5. | | CloudTrail5. | | **ASR configura S3 BucketLogging** Assicurati che la registrazione degli accessi al bucket S3 sia abilitata sul bucket S3 CloudTrail | | 2.6 | | 3.6 | | 3.4 | CloudTrail7. | | **A.S.R. ReplaceCodeBuildClearTextCredentials** CodeBuild le variabili di ambiente del progetto non devono contenere credenziali di testo non crittografato | CodeBuild2. | | CodeBuild2. | | CodeBuild2. | | CodeBuild2. | | **Attivazione ASR AWSConfig** Assicurati che AWS Config sia attivato | Config.1 | 2.5 | Config.1 | 3.5 | Config.1 | 3.3 | Config.1 | | **EBSSnapshotsASR-Make Private** Le istantanee di Amazon EBS non devono essere ripristinabili pubblicamente | EC21. | | EC21. | | EC21. | | EC21. | | **ASR - Rimuovi VPCDefault SecurityGroupRules** Il gruppo di sicurezza predefinito VPC dovrebbe vietare il traffico in entrata e in uscita | EC22. | 4.3 | EC22. | 5.3 | EC22. | 5.4 | EC22. | | **Registri di abilitazione ASR VPCFlow** La registrazione del flusso VPC deve essere abilitata in tutti VPCs | EC26. | 2.9 | EC26. | 3.9 | EC26. | 3.7 | EC26. | | **A.S.R. EnableEbsEncryptionByDefault** La crittografia predefinita EBS deve essere attivata | EC27. | 2.2.1 | | | EC27. | 2.2.1 | EC27. | | **A.S.R. RevokeUnrotatedKeys** Le chiavi di accesso degli utenti devono essere ruotate ogni 90 giorni o meno | IAM.3 | 1.4 | | 1.14 | IAM.3 | 1.14 | IAM.3 | | **Politica ASR-Set IAMPassword** Politica di password predefinita IAM | IAM.7 | 1.5-1,11 | IAM.8 | 1.8 | IAM.7 | 1.8 | IAM.7 | | **Credenziali ASR- RevokeUnused IAMUser** Le credenziali utente devono essere disattivate se non utilizzate entro 90 giorni | IAM.8 | 1.3 | IAM.7 | | IAM.8 | | IAM.8 | | **Credenziali ASR- RevokeUnused IAMUser** Le credenziali utente devono essere disattivate se non utilizzate entro 45 giorni | | | | 1.12 | | 1.12 | SONO 22 | | **ASR- RemoveLambdaPublicAccess** Le funzioni Lambda dovrebbero vietare l'accesso pubblico | Lambda.1 | | Lambda.1 | | Lambda.1 | | Lambda.1 | | **ASR-Make Private RDSSnapshot** Le istantanee RDS dovrebbero vietare l'accesso pubblico | RDS.1 | | RDS.1 | | RDS.1 | | RDS.1 | | **ASR- DisablePublicAccessTo RDSInstance** Le istanze DB RDS dovrebbero vietare l'accesso pubblico | RDS.2 | | RDS.2 | | RDS.2 | 2.3.3 | RDS.2 | | **Crittografia ASR RDSSnapshot** Le istantanee del cluster RDS e le istantanee del database devono essere crittografate quando sono inattive | RDS.4 | | | | RDS.4 | | RDS.4 | | **ASR- EnableMulti AZOn RDSInstance** Le istanze DB RDS devono essere configurate con più zone di disponibilità | RDS.5 | | | | RDS.5 | | RDS.5 | | **ASR- EnableEnhancedMonitoringOn RDSInstance** È necessario configurare un monitoraggio avanzato per le istanze e i cluster DB RDS | RDS.6 | | | | RDS.6 | | RDS.6 | | **Abilita ASR RDSCluster DeletionProtection** Nei cluster RDS dovrebbe essere attivata la protezione da eliminazione | RDS.7 | | | | RDS.7 | | RDS.7 | | **Abilitazione ASR RDSInstance DeletionProtection** Le istanze DB RDS devono avere la protezione da eliminazione attivata | RDS.8 | | | | RDS.8 | | RDS.8 | | **ASR- EnableMinorVersionUpgradeOn RDSDBInstance** Gli aggiornamenti automatici delle versioni secondarie di RDS devono essere attivati | RDS.13 | | | | RDS.13 | 2.3.2 | RDS.13 | | **ASR- EnableCopyTagsToSnapshotOn RDSCluster** I cluster RDS DB devono essere configurati per copiare i tag nelle istantanee | RDS.16 | | | | RDS.16 | | RDS.16 | | **ASR- DisablePublicAccessToRedshiftCluster** I cluster Amazon Redshift dovrebbero vietare l'accesso pubblico | Redshift.1 | | Redshift.1 | | Redshift.1 | | Redshift.1 | | **ASR- EnableAutomaticSnapshotsOnRedshiftCluster** I cluster Amazon Redshift devono avere snapshot automatici attivati | Redshift.3 | | | | Redshift.3 | | Redshift.3 | | **ASR- EnableRedshiftClusterAuditLogging** I cluster Amazon Redshift devono avere la registrazione di controllo attivata | Redshift.4 | | | | Redshift.4 | | Redshift.4 | | **ASR- EnableAutomaticVersionUpgradeOnRedshiftCluster** Amazon Redshift dovrebbe avere gli upgrade automatici alle versioni principali attivati | Redshift.6 | | | | Redshift.6 | | Redshift.6 | | **ASR configura S3 PublicAccessBlock** L'impostazione S3 Block Public Access deve essere attivata | S3.1 | 2.3 | S3.6 | 2.1.5.1 | S3.1 | 2.1.4 | S3.1 | | **ASR configura S3 BucketPublicAccessBlock** I bucket S3 dovrebbero vietare l'accesso pubblico in lettura | S3.2 | | S3.2 | 2.1.5.2 | S3.2 | | S3.2 | | **ASR configura S3 BucketPublicAccessBlock** I bucket S3 dovrebbero vietare l'accesso pubblico in scrittura | | S3.3 | | | | | S3.3 | | **ASR-S3 EnableDefaultEncryption** I bucket S3 devono avere la crittografia lato server attivata | S3.4 | | S3.4 | 2.1.1 | S3.4 | | S3.4 | | **SSLBucketPolitica ASR-Set** I bucket S3 dovrebbero richiedere richieste di utilizzo del protocollo SSL | S3.5 | | S3.5 | 2.1.2 | S3.5 | 2.1.1 | S3.5 | | **ASR-S3 BlockDenylist** Le autorizzazioni di Amazon S3 concesse ad altri account AWS nell'ambito delle policy bucket devono essere limitate | S3.6 | | | | S3.6 | | S3.6 | | L'impostazione S3 Block Public Access deve essere attivata a livello di bucket | S3.8 | | | | S3.8 | | S3.8 | | **ASR configura S3 BucketPublicAccessBlock** Assicurati che i log del CloudTrail bucket S3 non siano accessibili pubblicamente | | 2.3 | | | | | CloudTrail6. | | **A.S.R. CreateAccessLoggingBucket** Assicurati che la registrazione degli accessi al bucket S3 sia attivata sul bucket S3 CloudTrail | | 2.6 | | | | | CloudTrail7. | | **A.S.R. EnableKeyRotation** Assicurati che la rotazione per quella creata dal cliente CMKs sia attivata | | 2.8 | KMS.1 | 3.8 | KMS.4 | 3.6 | KMS.4 | | **ASR- CreateLogMetricFilterAndAlarm** Verifica se esistono un filtro e un allarme per le metriche dei log relativamente alle chiamate API non autorizzate | | 3.1 | | 4.1 | | | Cloudwatch 1 | | **ASR- CreateLogMetricFilterAndAlarm** Assicurati che esistano un filtro metrico di log e un allarme per l'accesso alla Console di gestione AWS senza MFA | | 3.2 | | 4.2 | | | Cloudwatch.2 | | **ASR- CreateLogMetricFilterAndAlarm** Assicurati che esistano un filtro metrico di registro e un allarme per l'utilizzo da parte dell'utente «root» | | 3.3 | CW.1 | 4.3 | | | Cloudwatch 3 | | **ASR- CreateLogMetricFilterAndAlarm** Verifica se esistono un filtro e un allarme per le metriche dei log relativamente alle modifiche apportate alle policy IAM | | 3.4 | | 4.4 | | | Cloudwatch 4 | | **ASR- CreateLogMetricFilterAndAlarm** Assicurati che esistano un filtro metrico di registro e un allarme per le CloudTrail modifiche alla configurazione | | 3.5 | | 4.5 | | | Cloudwatch 5 | | **ASR- CreateLogMetricFilterAndAlarm** Assicurati che esistano un filtro metrico di log e un allarme per gli errori di autenticazione della Console di gestione AWS | | 3.6 | | 4.6 | | | Cloudwatch 6 | | **ASR- CreateLogMetricFilterAndAlarm** Assicurati che esistano un filtro metrico di registro e un allarme per la disabilitazione o la cancellazione programmata dei dati creati dal cliente CMKs | | 3.7 | | 4.7 | | | Cloudwatch 7 | | **ASR- CreateLogMetricFilterAndAlarm** Verifica se esistono un filtro e un allarme per le metriche dei log relativamente alle modifiche apportate alle policy dei bucket S3 | | 3.8 | | 4.8 | | | Cloudwatch 8 | | **ASR- CreateLogMetricFilterAndAlarm** Assicurati che esistano un filtro metrico di log e un allarme per le modifiche alla configurazione di AWS Config | | 3.9 | | 4.9 | | | Cloudwatch.9 | | **ASR- CreateLogMetricFilterAndAlarm** Verifica se esistono un filtro e un allarme per le metriche dei log relativamente alle modifiche apportate al gruppo di sicurezza | | 3.10 | | 4,10 | | | Cloudwatch.10 | | **ASR- CreateLogMetricFilterAndAlarm** Verifica se esistono un filtro e un allarme per le metriche dei log relativamente alle modifiche apportate alle liste di controllo degli accessi alla rete (NACL) | | 3.11 | | 4,11 | | | Cloudwatch.11 | | **ASR- CreateLogMetricFilterAndAlarm** Verifica se esistono un filtro e un allarme per le metriche dei log relativamente alle modifiche apportate ai gateway di rete | | 3.12 | | 4,12 | | | Cloudwatch.12 | | **ASR- CreateLogMetricFilterAndAlarm** Verifica se esistono un filtro e un allarme per le metriche dei log relativamente alle modifiche apportate alle tabelle di routing | | 3.13 | | 4.13 | | | Cloudwatch.13 | | **ASR- CreateLogMetricFilterAndAlarm** Verifica se esistono un filtro e un allarme per le metriche dei log relativamente alle modifiche apportate al VPC | | 3.14 | | 4,14 | | | Cloudwatch 14 | | **AWS- DisablePublicAccessForSecurityGroup** Assicurati che nessun gruppo di sicurezza consenta l'ingresso dalla porta 0.0.0.0/0 alla porta 22 | | 4.1 | EC25. | | EC21.3 | | EC2.13 | | **AWS- DisablePublicAccessForSecurityGroup** Assicurati che nessun gruppo di sicurezza consenta l'ingresso dalla porta 0.0.0.0/0 alla porta 3389 | | 4.2 | | | EC21.4 | | EC2.14 | | **Configurazione ASR SNSTopic ForStack** | CloudFormation1. | | | | CloudFormation1. | | CloudFormation1. | | **Ruolo ASR-Create IAMSupport** | | 1.20 | | 1,17 | | 1,17 | IAM.18 | | **ASR- Assegna DisablePublic IPAuto** Le EC2 sottoreti Amazon non devono assegnare automaticamente indirizzi IP pubblici | EC21.5 | | | | EC2.15 | | EC2.15 | | **A.S.R. EnableCloudTrailLogFileValidation** | CloudTrail4. | 2.2 | CloudTrail3. | 3.2 | | | CloudTrail4. | | **ASR- EnableEncryptionFor SNSTopic** | SNS.1 | | | | SNS.1 | | SNS.1 | | **ASR- EnableDeliveryStatusLoggingFor SNSTopic** La registrazione dello stato di consegna deve essere abilitata per i messaggi di notifica inviati a un argomento | SNS.2 | | | | SNS.2 | | SNS.2 | | **ASR- EnableEncryptionFor SQSQueue** | SQS.1 | | | | SQS.1 | | SQS.1 | | **L'istantanea ASR-Make RDSSnapshot Private** RDS deve essere privata | RDS.1 | | RDS.1 | | | | RDS.1 | | **Blocco ASR SSMDocument PublicAccess** I documenti SSM non devono essere pubblici | SSM.4 | | | | SSM.4 | | SSM.4 | | **ASR- EnableCloudFrontDefaultRootObject** CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato | CloudFront1. | | | | CloudFront1. | | CloudFront1. | | **ASR- SetCloudFrontOriginDomain** CloudFront le distribuzioni non devono puntare a origini S3 inesistenti | CloudFront1.2 | | | | CloudFront.12 | | CloudFront.12 | | **A.S.R. RemoveCodeBuildPrivilegedMode** CodeBuild gli ambienti di progetto dovrebbero avere una configurazione AWS di registrazione | CodeBuild5. | | | | CodeBuild5. | | CodeBuild5. | | **Istanza EC2 ASR-terminate** EC2 Le istanze interrotte devono essere rimosse dopo un periodo di tempo specificato | EC24. | | | | EC24. | | EC24. | | **Attivazione ASR IMDSV2 OnInstance** EC2 le istanze devono utilizzare Instance Metadata Service Version 2 () IMDSv2 | EC28. | | | | EC28. | 5.6 | EC28. | | **A.S.R. RevokeUnauthorizedInboudRules** I gruppi di sicurezza dovrebbero consentire il traffico in entrata senza restrizioni solo per le porte autorizzate | EC21.8 | | | | EC2.18 | | EC2.18 | | INSERISCI QUI IL TITOLO I gruppi di sicurezza non dovrebbero consentire l'accesso illimitato alle porte ad alto rischio | EC21.9 | | | | EC2.19 | | EC2.19 | | **Disabilita ASR TGWAuto AcceptSharedAttachments** Amazon EC2 Transit Gateways non dovrebbe accettare automaticamente richieste di allegati VPC | EC22.3 | | | | EC2.23 | | EC2.23 | | **A.S.R. EnablePrivateRepositoryScanning** Gli archivi privati ECR devono avere la scansione delle immagini configurata | ECR.1 | | | | ECR.1 | | ECR.1 | | **ASR- EnableGuardDuty** GuardDuty dovrebbe essere abilitato | GuardDuty1. | | GuardDuty1. | | GuardDuty1. | | GuardDuty1. | | **ASR configura S3 BucketLogging** La registrazione degli accessi al server bucket S3 deve essere abilitata | S3.9 | | | | S3.9 | | S3.9 | | **ASR- EnableBucketEventNotifications** I bucket S3 devono avere le notifiche degli eventi abilitate | S3.11 | | | | S3.11 | | S3.11 | | **Set ASR 3 LifecyclePolicy** I bucket S3 devono avere politiche del ciclo di vita configurate | S3.13 | | | | S3.13 | | S3.13 | | **ASR- EnableAutoSecretRotation** I segreti di Secrets Manager devono avere la rotazione automatica abilitata | SecretsManager1. | | | | SecretsManager1. | | SecretsManager1. | | **ASR- RemoveUnusedSecret** Rimuovi i segreti inutilizzati di Secrets Manager | SecretsManager3. | | | | SecretsManager3. | | SecretsManager3. | | **ASR- UpdateSecretRotationPeriod** I segreti di Secrets Manager devono essere ruotati entro un determinato numero di giorni | SecretsManager4. | | | | SecretsManager4. | | SecretsManager4. | | **Attivazione ASR APIGateway CacheDataEncryption** I dati della cache dell'API REST di API Gateway devono essere crittografati quando sono inattivi | | | | | APIGateway5. | | APIGateway5. | | **ASR- SetLogGroupRetentionDays** CloudWatch i gruppi di log devono essere conservati per un periodo di tempo specificato | | | | | CloudWatch1.6 | | CloudWatch.16 | | **A.S.R. AttachService VPCEndpoint** Amazon EC2 deve essere configurato per utilizzare gli endpoint VPC creati per il servizio Amazon EC2 | EC2.10 | | | | EC2.10 | | EC2.10 | | **A.S.R. TagGuardDutyResource** GuardDuty i filtri devono essere etichettati | | | | | | | GuardDuty2. | | **ASR- TagGuardDutyResource** GuardDuty i rilevatori devono essere etichettati | | | | | | | GuardDuty4. | | **SSMPermissionsASR-Allega a EC2** EC2 Le istanze Amazon devono essere gestite da Systems Manager | SSM.1 | | SSM.3 | | | | SSM.1 | | **ASR- ConfigureLaunchConfigNoPublic IPDocument** EC2 Le istanze Amazon lanciate utilizzando le configurazioni di avvio del gruppo Auto Scaling non devono avere indirizzi IP pubblici | | | | | Autoscaling.5 | | Autoscaling.5 | | **Abilita ASR APIGateway ExecutionLogs** | APIGateway1. | | | | | | APIGateway1. | | **ASR- EnableMacie** Amazon Macie dovrebbe essere abilitato | Macie.1 | | | | Macie.1 | | Macie.1 | | **ASR- EnableAthenaWorkGroupLogging** I gruppi di lavoro Athena devono avere la registrazione abilitata | Atena.4 | | | | | | Atena.4 | | **ASR-Enforce LAB HTTPSFor** Application Load Balancer deve essere configurato per reindirizzare tutte le richieste HTTP a HTTPS | ELB.1 | | ELB.1 | | ELB.1 | | ELB.1 | | **Limite ASR ECSRoot FilesystemAccess** I contenitori ECS devono essere limitati all'accesso in sola lettura ai filesystem root | ECS.5 | | | | ECS.5 | | ECS.5 | | **ASR- EnableElastiCacheBackups** ElastiCache I cluster (Redis OSS) devono avere i backup automatici abilitati | ElastiCache1. | | | | ElastiCache1. | | ElastiCache1. | | **ASR- EnableElastiCacheVersionUpgrades** ElastiCache i cluster dovrebbero avere gli aggiornamenti automatici delle versioni secondarie abilitati | ElastiCache2. | | | | ElastiCache2. | | ElastiCache2. | | **ASR- EnableElastiCacheReplicationGroupFailover** ElastiCache i gruppi di replica devono avere il failover automatico abilitato | ElastiCache3. | | | | ElastiCache3. | | ElastiCache3. | | **Scalabilità ASR ConfigureDynamo DBAuto** Le tabelle DynamoDB dovrebbero scalare automaticamente la capacità in base alla domanda | DynamoDB.1 | | | | DynamoDB.1 | | DynamoDB.1 | | **Risorsa ASR TagDynamo DBTable** Le tabelle DynamoDB devono essere etichettate | | | | | | | Dynamo DB.5 | | **ASR- Protezione EnableDynamo DBDeletion** Le tabelle DynamoDB devono avere la protezione da eliminazione abilitata | | | | | Dynamo DB.6 | | Dynamo DB.6 |