Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Riferimento di controllo per Security Hub CSPM
Questo riferimento di controllo fornisce una tabella dei controlli CSPM di AWS Security Hub disponibili con collegamenti a ulteriori informazioni su ciascun controllo. Nella tabella, i controlli sono elencati in ordine alfabetico in base all'ID del controllo. Qui sono inclusi solo i controlli in uso attivo da Security Hub CSPM. I controlli ritirati sono esclusi dalla tabella.
La tabella fornisce le seguenti informazioni per ogni controllo:
-
ID del controllo di sicurezza: questo ID si applica a tutti gli standard Servizio AWS e indica la risorsa e a cui si riferisce il controllo. La console Security Hub CSPM mostra gli ID di controllo di sicurezza, indipendentemente dal fatto che i risultati del controllo consolidato siano attivati o disattivati nel tuo account. Tuttavia, i risultati CSPM di Security Hub fanno riferimento agli ID di controllo di sicurezza solo se i risultati del controllo consolidato sono attivati nel tuo account. Se i risultati del controllo consolidato sono disattivati nel tuo account, alcuni ID di controllo variano in base allo standard dei risultati di controllo. Per una mappatura degli ID di controllo specifici degli standard agli ID dei controlli di sicurezza, consulta. In che modo il consolidamento influisce sugli ID e sui titoli di controllo
Se desideri configurare le automazioni per i controlli di sicurezza, ti consigliamo di filtrare in base all'ID del controllo anziché al titolo o alla descrizione. Sebbene Security Hub CSPM possa occasionalmente aggiornare i titoli o le descrizioni dei controlli, gli ID di controllo rimangono invariati.
I Control ID possono ignorare i numeri. Si tratta di segnaposti per controlli futuri.
-
Titolo del controllo di sicurezza: questo titolo si applica a tutti gli standard. La console Security Hub CSPM mostra i titoli dei controlli di sicurezza, indipendentemente dal fatto che i risultati del controllo consolidato siano attivati o disattivati nel tuo account. Tuttavia, i risultati del CSPM di Security Hub fanno riferimento ai titoli di controllo di sicurezza solo se i risultati del controllo consolidato sono attivati nel tuo account. Se i risultati del controllo consolidato sono disattivati nel tuo account, alcuni titoli di controllo variano in base allo standard dei risultati di controllo. Per una mappatura degli ID di controllo specifici degli standard agli ID dei controlli di sicurezza, consulta. In che modo il consolidamento influisce sugli ID e sui titoli di controllo
-
Standard applicabili: indica a quali standard si applica un controllo. Scegli un controllo per esaminare i requisiti specifici dei framework di conformità di terze parti.
-
Severità: la severità di un controllo ne identifica l'importanza dal punto di vista della sicurezza. Per informazioni su come Security Hub CSPM determina la gravità del controllo, vedere. Livelli di gravità per i risultati del controllo
-
Supporta parametri personalizzati: indica se il controllo supporta valori personalizzati per uno o più parametri. Scegliete un controllo per esaminare i dettagli dei parametri. Per ulteriori informazioni, consulta Comprensione dei parametri di controllo in Security Hub CSPM.
-
Tipo di pianificazione: indica quando il controllo viene valutato. Per ulteriori informazioni, consulta Pianificazione dell'esecuzione dei controlli di sicurezza.
Scegli un controllo per esaminare ulteriori dettagli. I controlli sono elencati in ordine alfabetico in base all'ID del controllo di sicurezza.
| ID del controllo di sicurezza | Titolo del controllo di sicurezza | Standard applicabili | Gravità | Supporta parametri personalizzati | Tipo di pianificazione |
|---|---|---|---|---|---|
| Account.1 | Le informazioni di contatto relative alla sicurezza devono essere fornite per un Account AWS | Benchmark CIS AWS Foundations v5.0.0, benchmark CIS Foundations v3.0.0, migliori pratiche di AWS sicurezza di base v1.0.0AWS, NIST SP 800-53 Rev. 5 | MEDIO | Periodic (Periodico) | |
| Account.2 | Account AWSdovrebbe far parte di un'AWS Organizationsorganizzazione | NIST SP 800-53 Rev. 5 | HIGH (ELEVATO) | |
Periodic (Periodico) |
| ACM.1 | ACM-issued I certificati importati devono essere rinnovati dopo un determinato periodo di tempo | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MEDIO | |
Modifica attivata e periodica |
| ACM.2 | I certificati RSA gestiti da ACM devono utilizzare una lunghezza di chiave di almeno 2.048 bit | AWSBest practice di sicurezza di base v1.0.0, PCI DSS v4.0.1 | HIGH (ELEVATO) | |
Modifica attivata |
| ACM.3 | I certificati ACM devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| Amplify.1 | Le app Amplify devono essere taggate | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| Amplify.2 | I rami Amplify devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| APIGateway.1 | API Gateway REST e la registrazione dell'esecuzione delle WebSocket API devono essere abilitati | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| APIGateway.2 | Le fasi dell'API REST di API Gateway devono essere configurate per utilizzare i certificati SSL per l'autenticazione del backend | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MEDIO | |
Modifica attivata |
| APIGateway.3 | Le fasi dell'API REST di API Gateway devono avere AWS X-Ray la traccia abilitata | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | BASSO | |
Modifica attivata |
| APIGateway.4 | API Gateway deve essere associato a un ACL Web WAF | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| APIGateway.5 | I dati della cache dell'API REST di API Gateway devono essere crittografati quando sono inattivi | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| APIGateway.8 | Le rotte API Gateway devono specificare un tipo di autorizzazione | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Periodic (Periodico) |
| APIGateway.9 | La registrazione degli accessi deve essere configurata per API Gateway V2 Stages | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
Modifica attivata |
| APIGateway.10 | Le integrazioni API Gateway V2 devono utilizzare HTTPS per le connessioni private | AWSBest practice di sicurezza di base v1.0.0 | MEDIO | |
Modifica attivata |
| APIGateway.11 | I nomi di dominio API Gateway devono utilizzare le politiche di sicurezza consigliate | AWSMigliori pratiche di sicurezza di base | MEDIO | |
Modifica attivata |
| AppConfig.1 | AWS AppConfigle applicazioni devono essere etichettate | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| AppConfig.2 | AWS AppConfigi profili di configurazione devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| AppConfig.3 | AWS AppConfiggli ambienti devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| AppConfig.4 | AWS AppConfigle associazioni di estensioni devono essere etichettate | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| AppFlow.1 | AppFlow I flussi Amazon devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| AppRunner.1 | I servizi App Runner devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| AppRunner.2 | I connettori VPC App Runner devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| AppSync.2 | AWSAppSync dovrebbe avere la registrazione a livello di campo abilitata | AWSBest practice di sicurezza di base v1.0.0, PCI DSS v4.0.1 | MEDIO | |
Modifica attivata |
| AppSync.4 | AWSAppSync Le API GraphQL devono essere etichettate | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| AppSync.5 | AWSAppSync Le API GraphQL non devono essere autenticate con chiavi API | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ELEVATO) | |
Modifica attivata |
| Athena.2 | I cataloghi di dati Athena devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| Athena.3 | I gruppi di lavoro Athena devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| Athena.4 | I gruppi di lavoro Athena devono avere la registrazione abilitata | AWSMigliori pratiche di sicurezza di base | MEDIO | Modifica attivata | |
| AutoScaling.1 | I gruppi di Auto Scaling associati a un sistema di bilanciamento del carico devono utilizzare i controlli di integrità ELB | AWSBest practice di sicurezza di base, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | BASSO | Modifica attivata | |
| AutoScaling.2 | Il gruppo Amazon EC2 Auto Scaling dovrebbe coprire più zone di disponibilità | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| AutoScaling.3 | Le configurazioni di avvio del gruppo Auto Scaling devono configurare le istanze EC2 in modo che richiedano Instance Metadata Service Version 2 (IMDSv2) | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | HIGH (ELEVATO) | |
Modifica attivata |
| Autoscaling.5 | Le istanze Amazon EC2 avviate utilizzando le configurazioni di avvio del gruppo Auto Scaling non devono avere indirizzi IP pubblici | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | HIGH (ELEVATO) | |
Modifica attivata |
| AutoScaling.6 | I gruppi di Auto Scaling devono utilizzare più tipi di istanze in più zone di disponibilità | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| AutoScaling.9 | I gruppi di Auto Scaling di EC2 devono utilizzare i modelli di avvio EC2 | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| AutoScaling.10 | I gruppi EC2 Auto Scaling devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| Backup.1 | AWS Backupi punti di ripristino devono essere crittografati quando sono inattivi | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| Backup.2 | AWS Backupi punti di ripristino devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| Backup.3 | AWS Backuple casseforti devono essere etichettate | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| Backup.4 | AWS Backupi piani di report devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| Backup.5 | AWS Backupi piani di backup devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| Batch.1 | Le code di lavori in batch devono essere etichettate | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| Batch.2 | Le politiche di pianificazione dei batch devono essere contrassegnate | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| Batch.3 | Gli ambienti di elaborazione in batch devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| Batch.4 | Le proprietà delle risorse di calcolo negli ambienti di calcolo Batch gestiti devono essere etichettate | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| Bedrock.1 | Le fonti di dati Amazon Bedrock devono essere crittografate con chiavi gestite AWS KMS dal cliente | AWSBest practice di sicurezza di base | MEDIO | Modifica attivata | |
| BedrockAgentCore.1 | I AgentCore runtime Bedrock devono essere configurati con la modalità di rete VPC | AWSLe migliori pratiche di sicurezza di base | HIGH (ELEVATO) | Modifica attivata | |
| BedrockAgentCore.2 | I AgentCore gateway Bedrock devono richiedere l'autorizzazione per le richieste in entrata | AWSLe migliori pratiche di sicurezza di base | HIGH (ELEVATO) | Modifica attivata | |
| BedrockAgentCore.3 | Bedrock AgentCore Memory deve essere crittografata con chiavi gestite dal cliente AWS KMS | NIST SP 800-53 Rev. 5 | MEDIO | Modifica attivata | |
| BedrockAgentCore.4 | Bedrock AgentCore Gateway deve essere crittografato con chiavi gestite dal cliente AWS KMS | NIST SP 800-53 Rev. 5 | MEDIO | Modifica attivata | |
| BedrockAgentCore.5 | I browser AgentCore personalizzati Bedrock non devono utilizzare la modalità di rete pubblica | AWSMigliori pratiche di sicurezza di base | HIGH (ELEVATO) | Modifica attivata | |
| BedrockAgentCore.6 | I browser AgentCore personalizzati Bedrock dovrebbero avere la registrazione della sessione abilitata | AWSMigliori pratiche di sicurezza di base | MEDIO | Modifica attivata | |
| BedrockAgentCore.7 | Gli interpreti di codice AgentCore personalizzato Bedrock devono utilizzare una configurazione di rete privata | AWSMigliori pratiche di sicurezza di base | HIGH (ELEVATO) | Modifica attivata | |
| CloudFormation.2 | CloudFormation le pile devono essere etichettate | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| CloudFormation.3 | CloudFormation gli stack dovrebbero avere la protezione dalla terminazione abilitata | AWSMigliori pratiche di sicurezza di base | MEDIO | Modifica attivata | |
| CloudFormation.4 | CloudFormation gli stack devono avere ruoli di servizio associati | AWSMigliori pratiche di sicurezza di base | MEDIO | Modifica attivata | |
| CloudFront.1 | CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | HIGH (ELEVATO) | Modifica attivata | |
| CloudFront.3 | CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
Modifica attivata |
| CloudFront.4 | CloudFront le distribuzioni devono avere configurato il failover di origine | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | BASSO | |
Modifica attivata |
| CloudFront.5 | CloudFront le distribuzioni dovrebbero avere la registrazione abilitata | AWSBuone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
Modifica attivata |
| CloudFront.6 | CloudFront le distribuzioni dovrebbero avere WAF abilitato | AWSBuone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
Modifica attivata |
| CloudFront.7 | CloudFront le distribuzioni devono utilizzare certificati personalizzati SSL/TLS | AWSBuone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | BASSO | |
Modifica attivata |
| CloudFront.8 | CloudFront le distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS | AWSBuone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | BASSO | |
Modifica attivata |
| CloudFront.9 | CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
Modifica attivata |
| CloudFront.10 | CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MEDIO | |
Modifica attivata |
| CloudFront.12 | CloudFront le distribuzioni non devono puntare a origini S3 inesistenti | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | HIGH (ELEVATO) | |
Periodic (Periodico) |
| CloudFront.13 | CloudFront le distribuzioni devono utilizzare il controllo di accesso all'origine | AWSMigliori pratiche di sicurezza di base v1.0.0 | MEDIO | |
Modifica attivata |
| CloudFront.14 | CloudFront le distribuzioni devono essere etichettate | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| CloudFront.15 | CloudFront le distribuzioni devono utilizzare la politica di sicurezza TLS consigliata | AWSBest practice di sicurezza di base v1.0.0 | MEDIO | Modifica attivata | |
| CloudFront.16 | CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine per le origini degli URL della funzione Lambda | AWSBest practice di sicurezza di base v1.0.0 | MEDIO | Modifica attivata | |
| CloudFront.17 | CloudFront le distribuzioni devono utilizzare gruppi di chiavi affidabili per gli URL e i cookie firmati | AWSBest practice di sicurezza di base v1.0.0 | MEDIO | Modifica attivata | |
| CloudTrail.1 | CloudTrail deve essere abilitato e configurato con almeno un percorso multiregionale che includa eventi di gestione di lettura e scrittura | Benchmark CIS AWS Foundations v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, benchmark CIS Foundations v1.2.0, Best AWS practice di sicurezza di base, NIST SP 800-53 Rev. 5 AWS AWS | HIGH (ELEVATO) | Periodic (Periodico) | |
| CloudTrail.2 | CloudTrail dovrebbe avere la crittografia a riposo abilitata | Benchmark CIS AWS Foundations v5.0.0, benchmark CIS Foundations v3.0.0, benchmark CIS AWS Foundations v1.2.0, benchmark CIS Foundations v1.4.0 Buone AWS pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, AWS NIST SP 800-171 Rev. 2, AWS PCI DSS v3.2.1, PCI DSS v4.0.1 | MEDIO | |
Periodic (Periodico) |
| CloudTrail.3 | Almeno una CloudTrail traccia deve essere abilitata | NIST SP 800-171 Rev. 2, PCI DSS versione 4.0.1, PCI DSS versione 3.2.1 | HIGH (ELEVATO) | Periodic (Periodico) | |
| CloudTrail.4 | CloudTrail la convalida dei file di registro deve essere abilitata | Benchmark CIS AWS Foundations v5.0.0, benchmark CIS Foundations v3.0.0, benchmark CIS AWS Foundations v1.4.0, benchmark CIS Foundations AWS v1.2.0, Best AWS practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, AWS NIST SP 800-171 Rev. 2, PCI DSS v4.0.1, PCI DSS v3.2.1 | BASSO | |
Periodic (Periodico) |
| CloudTrail.5 | CloudTrail i trail devono essere integrati con Amazon CloudWatch Logs | Benchmark CIS AWS Foundations v1.2.0, benchmark CIS AWS Foundations v1.4.0, migliori pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5AWS, PCI DSS v3.2.1, PCI DSS v4.0.1 | MEDIO | |
Periodic (Periodico) |
| CloudTrail.6 | Assicurati che il bucket S3 utilizzato per archiviare CloudTrail i log non sia accessibile al pubblico | Benchmark CIS AWS Foundations v1.2.0, benchmark CIS Foundations v1.4.0, PCI AWS DSS v4.0.1 | CRITICO | |
Modifica attivata e periodica |
| CloudTrail.7 | Assicurati che la registrazione degli accessi al bucket S3 sia abilitata sul bucket S3 CloudTrail | Benchmark CIS AWS Foundations v5.0.0, Benchmark CIS Foundations v3.0.0, Benchmark CIS AWS Foundations v1.2.0, Benchmark CIS Foundations v1.4.0, Benchmark CIS AWS Foundations v3.0.0, PCI DSS v4.0.1 AWS AWS | BASSO | |
Periodic (Periodico) |
| CloudTrail.9 | CloudTrail i sentieri devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| CloudTrail.10 | CloudTrail Gli archivi dati di Lake Event devono essere crittografati con Customer Managed AWS KMS keys | NIST SP 800-53 Rev. 5 | MEDIO | Periodic (Periodico) | |
| CloudWatch.1 | Dovrebbero esistere un filtro metrico di registro e un allarme per l'utilizzo da parte dell'utente «root» | Benchmark CIS AWS Foundations versione 1.4.0, benchmark CIS Foundations versione 1.2.0, AWS NIST SP 800-171 Rev. 2, PCI DSS versione 3.2.1 | BASSO | |
Periodic (Periodico) |
| CloudWatch.2 | Verifica se esistono un filtro e un allarme per le metriche dei log relativamente alle chiamate API non autorizzate | Benchmark CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2 | BASSO | |
Periodic (Periodico) |
| CloudWatch.3 | Verifica se esistono un filtro e un allarme per le metriche dei log per l'accesso alla Console di gestione senza autenticazione a più fattori (MFA) | Benchmark CIS AWS Foundations v1.2.0 | BASSO | |
Periodic (Periodico) |
| CloudWatch.4 | Verifica se esistono un filtro e un allarme per le metriche dei log relativamente alle modifiche apportate alle policy IAM | Benchmark CIS AWS Foundations v1.4.0, benchmark CIS Foundations v1.2.0, AWS NIST SP 800-171 Rev. 2 | BASSO | |
Periodic (Periodico) |
| CloudWatch.5 | Assicurati che esistano un filtro metrico di registro e un allarme per le modifiche CloudTrail alla configurazione | Benchmark CIS AWS Foundations v1.4.0, benchmark CIS Foundations v1.2.0, AWS NIST SP 800-171 Rev. 2 | BASSO | |
Periodic (Periodico) |
| CloudWatch.6 | Assicurati che esistano un filtro metrico di registro e un allarme per gli errori di Console di gestione AWS autenticazione | Benchmark CIS AWS Foundations v1.4.0, benchmark CIS Foundations v1.2.0, AWS NIST SP 800-171 Rev. 2 | BASSO | |
Periodic (Periodico) |
| CloudWatch.7 | Verifica se esistono un filtro e un allarme per le metriche dei log relativamente alla disabilitazione o all'eliminazione pianificata delle chiavi gestite dal cliente (CMK) create dal cliente | Benchmark CIS AWS Foundations v1.4.0, benchmark CIS Foundations v1.2.0, AWS NIST SP 800-171 Rev. 2 | BASSO | |
Periodic (Periodico) |
| CloudWatch.8 | Verifica se esistono un filtro e un allarme per le metriche dei log relativamente alle modifiche apportate alle policy dei bucket S3 | Benchmark CIS AWS Foundations v1.4.0, benchmark CIS Foundations v1.2.0, AWS NIST SP 800-171 Rev. 2 | BASSO | |
Periodic (Periodico) |
| CloudWatch.9 | Assicurati che esistano un filtro metrico di registro e un allarme per le modifiche AWS Config alla configurazione | Benchmark CIS AWS Foundations v1.4.0, benchmark CIS Foundations v1.2.0, AWS NIST SP 800-171 Rev. 2 | BASSO | |
Periodic (Periodico) |
| CloudWatch.10 | Verifica se esistono un filtro e un allarme per le metriche dei log relativamente alle modifiche apportate al gruppo di sicurezza | Benchmark CIS AWS Foundations v1.4.0, benchmark CIS Foundations v1.2.0, AWS NIST SP 800-171 Rev. 2 | BASSO | |
Periodic (Periodico) |
| CloudWatch.11 | Verifica se esistono un filtro e un allarme per le metriche dei log relativamente alle modifiche apportate alle liste di controllo degli accessi alla rete (NACL) | Benchmark CIS AWS Foundations v1.4.0, benchmark CIS Foundations v1.2.0, AWS NIST SP 800-171 Rev. 2 | BASSO | |
Periodic (Periodico) |
| CloudWatch.12 | Verifica se esistono un filtro e un allarme per le metriche dei log relativamente alle modifiche apportate ai gateway di rete | Benchmark CIS AWS Foundations v1.4.0, benchmark CIS Foundations v1.2.0, AWS NIST SP 800-171 Rev. 2 | BASSO | |
Periodic (Periodico) |
| CloudWatch.13 | Verifica se esistono un filtro e un allarme per le metriche dei log relativamente alle modifiche apportate alle tabelle di routing | Benchmark CIS AWS Foundations v1.4.0, benchmark CIS Foundations v1.2.0, AWS NIST SP 800-171 Rev. 2 | BASSO | |
Periodic (Periodico) |
| CloudWatch.14 | Verifica se esistono un filtro e un allarme per le metriche dei log relativamente alle modifiche apportate al VPC | Benchmark CIS AWS Foundations v1.4.0, benchmark CIS Foundations v1.2.0, AWS NIST SP 800-171 Rev. 2 | BASSO | |
Periodic (Periodico) |
| CloudWatch.15 | CloudWatch gli allarmi dovrebbero avere azioni specificate configurate | NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | HIGH (ELEVATO) | |
Modifica attivata |
| CloudWatch.16 | CloudWatch i gruppi di log devono essere conservati per un periodo di tempo specificato | NIST SP 800-53 Rev. 5 | MEDIO | |
Periodic (Periodico) |
| CloudWatch.17 | CloudWatch le azioni di allarme devono essere abilitate | NIST SP 800-53 Rev. 5 | HIGH (ELEVATO) | |
Modifica attivata |
| CodeArtifact.1 | CodeArtifact i repository devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| CodeBuild.1 | CodeBuild Gli URL del repository di origine Bitbucket non devono contenere credenziali riservate | AWSBest practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | CRITICO | Modifica attivata | |
| CodeBuild.2 | CodeBuild le variabili di ambiente del progetto non devono contenere credenziali di testo non crittografato | AWSMigliori pratiche di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | CRITICO | |
Modifica attivata |
| CodeBuild.3 | CodeBuild I log S3 devono essere crittografati | AWSBest practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, | BASSO | |
Modifica attivata |
| CodeBuild.4 | CodeBuild gli ambienti di progetto devono avere una configurazione di registrazione | AWSBuone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| CodeBuild.7 | CodeBuild Le esportazioni dei gruppi di report devono essere crittografate quando sono inattive | AWSMigliori pratiche di sicurezza di base | MEDIO | Modifica attivata | |
| CodeGuruProfiler.1 | CodeGuru I gruppi di profilazione di Profiler devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| CodeGuruReviewer.1 | CodeGuru Le associazioni dei repository dei revisori devono essere contrassegnate | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| Cognito.1 | I pool di utenti di Cognito dovrebbero avere la protezione dalle minacce attivata con la modalità di imposizione completa delle funzioni per l'autenticazione standard | AWSLe migliori pratiche di sicurezza di base | MEDIO | Modifica attivata | |
| Cognito.2 | I pool di identità di Cognito non dovrebbero consentire identità non autenticate | AWSLe migliori pratiche di sicurezza di base | MEDIO | Modifica attivata | |
| Cognito.3 | Le politiche relative alle password per i pool di utenti di Cognito devono avere configurazioni avanzate | AWSLe migliori pratiche di sicurezza di base | MEDIO | Modifica attivata | |
| Cognito.4 | I pool di utenti di Cognito dovrebbero avere la protezione dalle minacce attivata con la modalità di imposizione completa delle funzioni per l'autenticazione personalizzata | AWSLe migliori pratiche di sicurezza di base | MEDIO | Modifica attivata | |
| Cognito.5 | La MFA deve essere abilitata per i pool di utenti di Cognito | AWSLe migliori pratiche di sicurezza di base | MEDIO | Modifica attivata | |
| Cognito.6 | I pool di utenti di Cognito devono avere la protezione dall'eliminazione abilitata | AWSMigliori pratiche di sicurezza di base | MEDIO | Modifica attivata | |
| Config.1 | AWS Configdeve essere abilitato e utilizzare il ruolo collegato al servizio per la registrazione delle risorse | Benchmark CIS AWS Foundations v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, Benchmark CIS Foundations v1.2.0, AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, AWS PCI DSS v3.2.1 AWS | CRITICO | Periodic (Periodico) | |
| Connect.1 | I tipi di oggetto Connect Customer Customer Profiles devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| Connect.2 | Le istanze Connect Customer devono avere la CloudWatch registrazione abilitata | AWSMigliori pratiche di sicurezza di base | MEDIO | Modifica attivata | |
| DataFirehose.1 | I flussi di distribuzione di Firehose devono essere crittografati quando sono inattivi | AWSMigliori pratiche di sicurezza di base, NIST SP 800-53 Rev. 5 | MEDIO | Periodic (Periodico) | |
| DataSync.1 | DataSync le attività dovrebbero avere la registrazione abilitata | AWSMigliori pratiche di sicurezza di base | MEDIO | Modifica attivata | |
| DataSync.2 | DataSync le attività devono essere etichettate | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| Detective.1 | I grafici del comportamento dei Detective devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| DMS.1 | Le istanze di replica del Database Migration Service non devono essere pubbliche | AWSBest practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | CRITICO | |
Periodic (Periodico) |
| DMS.2 | I certificati DMS devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| DMS.3 | Le sottoscrizioni agli eventi DMS devono essere contrassegnate | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| DMS.4 | Le istanze di replica DMS devono essere contrassegnate | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| DMS.5 | I sottoreti di replica DMS devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| DMS.6 | L'aggiornamento automatico delle versioni secondarie delle istanze di replica DMS deve essere abilitato | AWSBest practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
Modifica attivata |
| DMS.7 | Le attività di replica DMS per il database di destinazione devono avere la registrazione abilitata | AWSBest practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
Modifica attivata |
| DMS.8 | Le attività di replica DMS per il database di origine devono avere la registrazione abilitata | AWSBest practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
Modifica attivata |
| DMS.9 | Gli endpoint DMS devono utilizzare SSL | AWSBest practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
Modifica attivata |
| DMS.10 | Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata | AWSBest practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | Modifica attivata | |
| DMS.11 | Gli endpoint DMS per MongoDB devono avere un meccanismo di autenticazione abilitato | AWSBest practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | Modifica attivata | |
| DMS.12 | Gli endpoint DMS per Redis OSS devono avere TLS abilitato | AWSBest practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | Modifica attivata | |
| DMS.13 | Le istanze di replica DMS devono essere configurate per utilizzare più zone di disponibilità | AWSBest practice di sicurezza di base | MEDIO | Modifica attivata | |
| DocumentDB.1 | I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| DocumentDB.2 | I cluster Amazon DocumentDB devono avere un periodo di conservazione dei backup adeguato | AWSBest practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
Modifica attivata |
| DocumentDB.3 | Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche | AWSBest practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | CRITICO | |
Modifica attivata |
| DocumentDB.4 | I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch | AWSBest practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
Modifica attivata |
| DocumentDB.5 | I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| DocumentDB.6 | I cluster Amazon DocumentDB devono essere crittografati in transito | AWSBest practice di sicurezza di base | MEDIO | Periodic (Periodico) | |
| DynamoDB.1 | Le tabelle DynamoDB dovrebbero scalare automaticamente la capacità in base alla domanda | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Periodic (Periodico) |
| DynamoDB.2 | Le tabelle DynamoDB devono avere il ripristino point-in-time abilitato | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| DynamoDB.3 | I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Periodic (Periodico) |
| DynamoDB.4 | Le tabelle DynamoDB devono essere presenti in un piano di backup | NIST SP 800-53 Rev. 5 | MEDIO | |
Periodic (Periodico) |
| DynamoDB.5 | Le tabelle DynamoDB devono essere etichettate | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| DynamoDB.6 | Le tabelle DynamoDB devono avere la protezione da eliminazione abilitata | AWSBuone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| DynamoDB.7 | I cluster DynamoDB Accelerator devono essere crittografati in transito | AWSBest practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | Periodic (Periodico) | |
| EC2.1 | Le istantanee EBS non devono essere ripristinabili pubblicamente | AWSBest practice di sicurezza di base v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | CRITICO | |
Periodic (Periodico) |
| EC2.2 | I gruppi di sicurezza VPC predefiniti non devono consentire il traffico in entrata o in uscita | Benchmark CIS AWS Foundations v5.0.0, benchmark CIS Foundations v3.0.0, benchmark CIS AWS Foundations v1.2.0, best practice di sicurezza di base v1.0.0, PCI DSS v3.2.1, benchmark AWS CIS Foundations v1.4.0AWS, NIST SP 800-53 Rev. 5 AWS | HIGH (ELEVATO) | |
Modifica attivata |
| EC2.3 | I volumi EBS collegati devono essere crittografati quando sono inattivi | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| EC2.4 | Le istanze EC2 arrestate devono essere rimosse dopo un periodo di tempo specificato | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Periodic (Periodico) |
| EC2.6 | La registrazione del flusso VPC deve essere abilitata in tutti i VPC | Benchmark CIS AWS Foundations v5.0.0, benchmark CIS Foundations v3.0.0, benchmark CIS AWS Foundations v1.2.0, best practice di sicurezza di base v1.0.0, PCI DSS v3.2.1, benchmark AWS CIS Foundations v1.4.0AWS, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 AWS | MEDIO | |
Periodic (Periodico) |
| EC2.7 | La crittografia predefinita di EBS deve essere abilitata | Benchmark CIS AWS Foundations v5.0.0, benchmark CIS Foundations v3.0.0, migliori pratiche di sicurezza di base AWS v1.0.0AWS, benchmark CIS Foundations v1.4.0, NIST SP 800-53 Rev. 5 AWS | MEDIO | |
Periodic (Periodico) |
| EC2.8 | Le istanze EC2 devono utilizzare Instance Metadata Service Version 2 (IMDSv2) | Benchmark CIS AWS Foundations v5.0.0, benchmark CIS Foundations v3.0.0, migliori AWS pratiche di sicurezza di base, NIST SP 800-53 Rev. 5AWS, PCI DSS v4.0.1 | HIGH (ELEVATO) | |
Modifica attivata |
| EC2.9 | Le istanze EC2 non devono avere un indirizzo IPv4 pubblico | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ELEVATO) | |
Modifica attivata |
| EC2.10 | Amazon EC2 deve essere configurato per utilizzare endpoint VPC creati per il servizio Amazon EC2 | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MEDIO | |
Periodic (Periodico) |
| EC2.12 | Le EIP EC2 non utilizzate devono essere rimosse | PCI DSS versione 3.2.1, NIST SP 800-53 Rev. 5 | BASSO | |
Modifica attivata |
| EC2.13 | I gruppi di sicurezza non dovrebbero consentire l'accesso da 0.0.0. 0/0 o: :/0 alla porta 22 | Benchmark CIS AWS Foundations versione 1.2.0, PCI DSS versione 3.2.1, PCI DSS versione 4.0.1, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | HIGH (ELEVATO) | Modifica attivata e periodica | |
| EC2.14 | I gruppi di sicurezza non dovrebbero consentire l'accesso a partire dalla versione 0.0.0. 0/0 o: :/0 alla porta 3389 | Benchmark CIS AWS Foundations versione 1.2.0, PCI DSS versione 4.0.1 | HIGH (ELEVATO) | Modifica attivata e periodica | |
| EC2.15 | Le sottoreti EC2 non devono assegnare automaticamente indirizzi IP pubblici | AWSBest practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, | MEDIO | |
Modifica attivata |
| EC2.16 | Gli elenchi di controllo degli accessi alla rete non utilizzati devono essere rimossi | AWSBest practice di sicurezza di base, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1, | BASSO | |
Modifica attivata |
| EC2.17 | Le istanze EC2 non devono utilizzare più ENI | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | BASSO | |
Modifica attivata |
| EC2.18 | I gruppi di sicurezza devono consentire il traffico in entrata senza restrizioni solo per le porte autorizzate | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | HIGH (ELEVATO) | |
Modifica attivata |
| EC2.19 | I gruppi di sicurezza non dovrebbero consentire l'accesso illimitato alle porte ad alto rischio | AWSMigliori pratiche di sicurezza di base, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | CRITICO | Modifica attivata e periodica | |
| EC2.20 | Entrambi i tunnel VPN per una connessione AWS Site-to-Site VPN dovrebbero essere attivi | AWSBuone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MEDIO | |
Modifica attivata |
| EC2.21 | Gli ACL di rete non dovrebbero consentire l'accesso a partire dalla versione 0.0.0. 0/0 alla porta 22 o alla porta 3389 | Benchmark CIS AWS Foundations v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, migliori pratiche di sicurezza di base, NIST SP AWS 800-53 Rev. 5, NIST SP 800-171 Rev. 2AWS, PCI DSS v4.0.1 | MEDIO | |
Modifica attivata |
| EC2.22 | I gruppi di sicurezza EC2 non utilizzati devono essere rimossi | MEDIO | Periodic (Periodico) | ||
| EC2.23 | I gateway di transito EC2 non dovrebbero accettare automaticamente le richieste di allegati VPC | AWSBuone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ELEVATO) | |
Modifica attivata |
| EC2.24 | I tipi di istanze paravirtuali EC2 non devono essere utilizzati | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| EC2.25 | I modelli di lancio EC2 non devono assegnare IP pubblici alle interfacce di rete | AWSBest practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | HIGH (ELEVATO) | |
Modifica attivata |
| EC2.28 | I volumi EBS devono essere inclusi in un piano di backup | NIST SP 800-53 Rev. 5 | BASSO | |
Periodic (Periodico) |
| EC2.33 | Gli allegati del gateway di transito EC2 devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| EC2.34 | Le tabelle delle rotte dei gateway di transito EC2 devono essere etichettate | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| EC2.35 | Le interfacce di rete EC2 devono essere etichettate | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| EC2.36 | I gateway per i clienti EC2 devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| EC2.37 | Gli indirizzi IP elastici EC2 devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| EC2.38 | Le istanze EC2 devono essere etichettate | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| EC2.39 | I gateway Internet EC2 devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| EC2.40 | I gateway NAT EC2 devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| EC2.41 | Gli ACL di rete EC2 devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| EC2.42 | Le tabelle delle rotte EC2 devono essere etichettate | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| EC2.43 | I gruppi di sicurezza EC2 devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| EC2.44 | Le sottoreti EC2 devono essere etichettate | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| EC2.45 | I volumi EC2 devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| EC2.46 | I VPC Amazon devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| EC2.47 | I servizi endpoint Amazon VPC devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| EC2.48 | I log di flusso di Amazon VPC devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| EC2.49 | Le connessioni peering Amazon VPC devono essere etichettate | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| EC2.50 | I gateway VPN EC2 devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| EC2.51 | Gli endpoint EC2 Client VPN devono avere la registrazione della connessione client abilitata | AWSBest practice di sicurezza di base, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | BASSO | |
Modifica attivata |
| EC2.52 | I gateway di transito EC2 devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| EC2.53 | I gruppi di sicurezza EC2 non dovrebbero consentire l'ingresso da 0.0.0. 0/0 alle porte di amministrazione del server remoto | Benchmark CIS AWS Foundations v5.0.0, benchmark CIS Foundations v3.0.0, PCI DSS AWS v4.0.1 | HIGH (ELEVATO) | Periodic (Periodico) | |
| EC2.54 | I gruppi di sicurezza EC2 non dovrebbero consentire l'accesso da: :/0 alle porte di amministrazione remota del server | Benchmark CIS AWS Foundations v5.0.0, benchmark CIS Foundations v3.0.0, PCI DSS AWS v4.0.1 | HIGH (ELEVATO) | Periodic (Periodico) | |
| EC2.55 | I VPC devono essere configurati con un endpoint di interfaccia per l'API ECR | AWSBest practice di sicurezza di base, NIST SP 800-53 Rev. 5 | MEDIO | Periodic (Periodico) | |
| EC2.56 | I VPC devono essere configurati con un endpoint di interfaccia per Docker Registry | AWSBest practice di sicurezza di base, NIST SP 800-53 Rev. 5 | MEDIO | Periodic (Periodico) | |
| EC2.57 | I VPC devono essere configurati con un endpoint di interfaccia per Systems Manager | AWSBest practice di sicurezza di base, NIST SP 800-53 Rev. 5 | MEDIO | Periodic (Periodico) | |
| EC2.58 | I VPC devono essere configurati con un endpoint di interfaccia per Systems Manager Incident Manager Contacts | AWSBest practice di sicurezza di base, NIST SP 800-53 Rev. 5 | MEDIO | Periodic (Periodico) | |
| EC2.60 | I VPC devono essere configurati con un endpoint di interfaccia per Systems Manager Incident Manager | AWSBest practice di sicurezza di base, NIST SP 800-53 Rev. 5 | MEDIO | Periodic (Periodico) | |
| EC2.170 | I modelli di avvio EC2 devono utilizzare Instance Metadata Service Version 2 (IMDSv2) | AWSBest practice di sicurezza di base, PCI DSS v4.0.1 | BASSO | Modifica attivata | |
| EC2.171 | Le connessioni VPN EC2 devono avere la registrazione abilitata | AWSBest practice di sicurezza di base, PCI DSS v4.0.1 | MEDIO | Modifica attivata | |
| EC2.172 | Le impostazioni VPC Block Public Access di EC2 dovrebbero bloccare il traffico del gateway Internet | AWSLe migliori pratiche di sicurezza di base | MEDIO | Modifica attivata | |
| EC2.173 | Le richieste Spot Fleet di EC2 con parametri di avvio dovrebbero abilitare la crittografia per i volumi EBS collegati | AWSBest practice di sicurezza di base | MEDIO | Modifica attivata | |
| EC2.174 | I set di opzioni DHCP EC2 devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| EC2.175 | I modelli di lancio di EC2 devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| EC2.176 | Gli elenchi di prefissi EC2 devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| EC2.177 | Le sessioni Traffic Mirror di EC2 devono essere contrassegnate | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| EC2.178 | I filtri Traffic Mirror di EC2 devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| EC2.179 | Gli obiettivi del Traffic Mirror di EC2 devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| EC2.180 | Le interfacce di rete EC2 dovrebbero avere il controllo abilitato source/destination | AWSMigliori pratiche di sicurezza di base v1.0.0 | MEDIO | Modifica attivata | |
| EC2.181 | I modelli di lancio EC2 devono abilitare la crittografia per i volumi EBS collegati | AWSBest practice di sicurezza di base v1.0.0 | MEDIO | Modifica attivata | |
| EC2.182 | Le istantanee EBS non devono essere accessibili al pubblico | AWSLe migliori pratiche di sicurezza di base | HIGH (ELEVATO) | Modifica attivata | |
| EC2.183 | Le connessioni VPN EC2 devono utilizzare il protocollo IKEv2 | AWSLe migliori pratiche di sicurezza di base | MEDIO | Modifica attivata | |
| ECR.1 | Gli archivi privati ECR devono avere la scansione delle immagini configurata | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | HIGH (ELEVATO) | |
Periodic (Periodico) |
| ECR.2 | Gli archivi privati ECR devono avere l'immutabilità dei tag configurata | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| ECR.3 | Gli archivi ECR devono avere almeno una politica del ciclo di vita configurata | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| ECR.4 | Gli archivi pubblici ECR devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| ECR.5 | Gli archivi ECR devono essere crittografati e gestiti dal cliente AWS KMS keys | NIST SP 800-53 Rev. 5 | MEDIO | Modifica attivata | |
| ECS.2 | Ai servizi ECS non dovrebbero essere assegnati automaticamente indirizzi IP pubblici | AWSBest practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | HIGH (ELEVATO) | |
Modifica attivata |
| ECS.3 | Le definizioni delle attività ECS non devono condividere lo spazio dei nomi del processo dell'host | AWSBuone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ELEVATO) | |
Modifica attivata |
| ECS.4 | I contenitori ECS devono essere eseguiti come non privilegiati | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ELEVATO) | |
Modifica attivata |
| ECS.5 | I contenitori ECS devono essere limitati all'accesso in sola lettura ai filesystem root | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ELEVATO) | |
Modifica attivata |
| ECS.8 | I segreti non devono essere passati come variabili di ambiente del contenitore | AWSBest practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | HIGH (ELEVATO) | |
Modifica attivata |
| ECS.9 | Le definizioni delle attività ECS devono avere una configurazione di registrazione | AWSBuone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ELEVATO) | |
Modifica attivata |
| ECS.10 | I servizi ECS Fargate devono essere eseguiti sulla versione più recente della piattaforma Fargate | AWSBest practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
Modifica attivata |
| ECS.12 | I cluster ECS devono utilizzare Container Insights | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| ECS.13 | I servizi ECS devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| ECS.14 | I cluster ECS devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| ECS.15 | Le definizioni delle attività ECS devono essere contrassegnate | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| ECS.16 | I set di attività ECS non devono assegnare automaticamente indirizzi IP pubblici | AWSBest practice di sicurezza di base, PCI DSS v4.0.1 | HIGH (ELEVATO) | Modifica attivata | |
| ECS.17 | Le definizioni delle attività ECS non devono utilizzare la modalità di rete host | NIST SP 800-53 Rev. 5 | MEDIO | Modifica attivata | |
| ECS.18 | Le definizioni delle attività ECS devono utilizzare la crittografia in transito per i volumi EFS | AWSBest practice di sicurezza di base | MEDIO | Modifica attivata | |
| ECS.19 | I fornitori di capacità ECS dovrebbero avere abilitato la protezione gestita dalla terminazione | AWSMigliori pratiche di sicurezza di base | MEDIO | Modifica attivata | |
| ECS.20 | Le definizioni delle attività ECS devono configurare gli utenti non root nelle definizioni dei contenitori Linux | AWSLe migliori pratiche di sicurezza di base | MEDIO | Modifica attivata | |
| ECS.21 | Le definizioni delle attività ECS devono configurare gli utenti non amministratori nelle definizioni dei contenitori Windows | AWSBest practice di sicurezza di base | MEDIO | Modifica attivata | |
| EFS.1 | Elastic File System deve essere configurato per crittografare i dati dei file archiviati utilizzando AWS KMS | Benchmark CIS AWS Foundations v5.0.0, benchmark CIS Foundations v3.0.0, migliori pratiche di AWS sicurezza di base v1.0.0AWS, NIST SP 800-53 Rev. 5 | MEDIO | |
Periodic (Periodico) |
| EFS.2 | I volumi Amazon EFS devono essere inclusi nei piani di backup | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Periodic (Periodico) |
| EFS.3 | I punti di accesso EFS devono applicare una directory principale | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| EFS.4 | I punti di accesso EFS devono applicare un'identità utente | AWSBest practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
Modifica attivata |
| EFS.5 | I punti di accesso EFS devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| EFS.6 | Gli obiettivi di montaggio EFS non devono essere associati a sottoreti che assegnano indirizzi IP pubblici all'avvio | AWSBest practice di sicurezza di base | MEDIO | Periodic (Periodico) | |
| EFS.7 | I file system EFS devono avere i backup automatici abilitati | AWSBest practice di sicurezza di base | MEDIO | Modifica attivata | |
| EFS.8 | I file system EFS devono essere crittografati quando sono inattivi | CIS AWS Foundations Benchmark v5.0.0, best practice di sicurezza di base AWS | MEDIO | Modifica attivata | |
| EKS.1 | Gli endpoint del cluster EKS non devono essere accessibili al pubblico | AWSMigliori pratiche di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | HIGH (ELEVATO) | |
Periodic (Periodico) |
| EKS.2 | I cluster EKS devono essere eseguiti su una versione di Kubernetes supportata | AWSBest practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | HIGH (ELEVATO) | |
Modifica attivata |
| EKS.3 | I cluster EKS devono utilizzare segreti Kubernetes crittografati | AWSBest practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | Periodic (Periodico) | |
| EKS.6 | I cluster EKS devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| EKS.7 | Le configurazioni dei provider di identità EKS devono essere contrassegnate | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| EKS.8 | I cluster EKS dovrebbero avere la registrazione di controllo abilitata | AWSBest practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
Modifica attivata |
| EKS.9 | I gruppi di nodi EKS devono essere eseguiti su una versione di Kubernetes supportata | AWSBest practice di sicurezza di base | HIGH (ELEVATO) | Modifica attivata | |
| ElastiCache.1 | ElastiCache I cluster (Redis OSS) devono avere i backup automatici abilitati | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ELEVATO) | Periodic (Periodico) | |
| ElastiCache.2 | ElastiCache i cluster dovrebbero avere gli aggiornamenti automatici delle versioni secondarie abilitati | AWSBest practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | HIGH (ELEVATO) | |
Periodic (Periodico) |
| ElastiCache.3 | ElastiCache i gruppi di replica devono avere il failover automatico abilitato | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Periodic (Periodico) |
| ElastiCache.4 | ElastiCache i gruppi di replica devono essere crittografati a riposo | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Periodic (Periodico) |
| ElastiCache.5 | ElastiCache i gruppi di replica devono essere crittografati in transito | AWSBest practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
Periodic (Periodico) |
| ElastiCache.6 | ElastiCache (Redis OSS) i gruppi di replica delle versioni precedenti devono avere Redis OSS AUTH abilitato | AWSBest practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
Periodic (Periodico) |
| ElastiCache.7 | ElastiCache i cluster non devono utilizzare il gruppo di sottoreti predefinito | AWSBuone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ELEVATO) | |
Periodic (Periodico) |
| ElasticBeanstalk.1 | Gli ambienti Elastic Beanstalk dovrebbero avere la reportistica sanitaria avanzata abilitata | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | BASSO | |
Modifica attivata |
| ElasticBeanstalk.2 | Gli aggiornamenti della piattaforma gestita da Elastic Beanstalk devono essere abilitati | AWSBest practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | HIGH (ELEVATO) | |
Modifica attivata |
| ElasticBeanstalk.3 | Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch | AWSMigliori pratiche di sicurezza di base, PCI DSS v4.0.1 | HIGH (ELEVATO) | |
Modifica attivata |
| ELB.1 | Application Load Balancer deve essere configurato per reindirizzare tutte le richieste HTTP a HTTPS | AWSBest practice di sicurezza di base v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | MEDIO | |
Periodic (Periodico) |
| ELB.2 | I sistemi Classic Load Balancer con SSL/HTTPS listener devono utilizzare un certificato fornito da AWS Certificate Manager | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MEDIO | |
Modifica attivata |
| ELB.3 | I listener Classic Load Balancer devono essere configurati con terminazione HTTPS o TLS | AWSBest practice di sicurezza di base, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MEDIO | |
Modifica attivata |
| ELB.4 | Application Load Balancer deve essere configurato per eliminare le intestazioni http | AWSBest practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
Modifica attivata |
| ELB.5 | La registrazione di Application e Classic Load Balancers deve essere abilitata | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| ELB.6 | Application, Gateway e Network Load Balancer devono avere la protezione da eliminazione abilitata | AWSBest practice di sicurezza di base, NIST SP 800-53 Rev. 5 | MEDIO | Modifica attivata | |
| ELB.7 | I Classic Load Balancer dovrebbero avere abilitato il drenaggio della connessione | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | BASSO | |
Modifica attivata |
| ELB.8 | I Classic Load Balancer con listener SSL devono utilizzare una politica di sicurezza predefinita con una configurazione avanzata | AWSBest practice di sicurezza di base, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MEDIO | |
Modifica attivata |
| ELB.9 | I sistemi Classic Load Balancer devono avere il bilanciamento del carico tra zone abilitato | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| ELB.10 | Classic Load Balancer dovrebbe estendersi su più zone di disponibilità | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| ELB.12 | Application Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa | AWSBest practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
Modifica attivata |
| ELB.13 | I Load Balancer per applicazioni, reti e gateway devono estendersi su più zone di disponibilità | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| ELB.14 | Classic Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa | AWSBest practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
Modifica attivata |
| ELB.16 | Gli Application Load Balancer devono essere associati a un AWS ACL web WAF | NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| ELB.17 | Gli Application e Network Load Balancer con listener devono utilizzare le politiche di sicurezza consigliate | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| ELB.18 | I listener di Application e Network Load Balancer devono utilizzare protocolli sicuri per crittografare i dati in transito | AWSBest practice di sicurezza di base v1.0.0 | MEDIO | Modifica attivata | |
| ELB.21 | I gruppi target di Application e Network Load Balancer devono utilizzare protocolli di controllo dello stato crittografati | AWSBest practice di sicurezza di base v1.0.0 | MEDIO | |
Modifica attivata |
| ELB.22 | I gruppi bersaglio dell'ELB devono utilizzare protocolli di trasporto criptati | AWSMigliori pratiche di sicurezza di base v1.0.0 | MEDIO | |
Modifica attivata |
| EMR.1 | I nodi primari del cluster Amazon EMR non devono avere indirizzi IP pubblici | AWSBest practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | HIGH (ELEVATO) | Periodic (Periodico) | |
| EMR.2 | L'impostazione di accesso pubblico a blocchi di Amazon EMR deve essere abilitata | AWSBest practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | CRITICO | Periodic (Periodico) | |
| EMR.3 | Le configurazioni di sicurezza di Amazon EMR devono essere crittografate quando sono inattive | AWSBest practice di sicurezza di base, NIST SP 800-53 Rev. 5 | MEDIO | Modifica attivata | |
| EMR.4 | Le configurazioni di sicurezza di Amazon EMR devono essere crittografate in transito | AWSBest practice di sicurezza di base, NIST SP 800-53 Rev. 5 | MEDIO | Modifica attivata | |
| ES.1 | I domini Elasticsearch devono avere la crittografia a riposo abilitata | AWSBest practice di sicurezza di base v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | MEDIO | |
Periodic (Periodico) |
| ES.2 | I domini Elasticsearch non dovrebbero essere accessibili al pubblico | AWSBest practice di sicurezza di base, PCI DSS v3.2.1, PCI DSS v4.0.1, NIST SP 800-53 Rev. 5 | CRITICO | |
Periodic (Periodico) |
| ES.3 | I domini Elasticsearch devono crittografare i dati inviati tra i nodi | AWSBest practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, | MEDIO | |
Modifica attivata |
| ES.4 | La registrazione degli errori del dominio Elasticsearch nei registri deve essere abilitata CloudWatch | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| ES.5 | I domini Elasticsearch devono avere la registrazione di controllo abilitata | AWSMigliori pratiche di sicurezza di base, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| ES.6 | I domini Elasticsearch devono avere almeno tre nodi di dati | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| ES.7 | I domini Elasticsearch devono essere configurati con almeno tre nodi master dedicati | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| ES.8 | Le connessioni ai domini Elasticsearch devono essere crittografate utilizzando la più recente politica di sicurezza TLS | AWSBest practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | Modifica attivata | |
| ES.9 | I domini Elasticsearch devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| EventBridge.2 | EventBridge i bus degli eventi devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| EventBridge.3 | EventBridge i bus di eventi personalizzati devono avere una politica basata sulle risorse allegata | AWSBest practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | BASSO | |
Modifica attivata |
| EventBridge.4 | EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata | NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| FraudDetector.1 | I tipi di entità Amazon Fraud Detector devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| FraudDetector.2 | Le etichette di Amazon Fraud Detector devono essere etichettate | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| FraudDetector.3 | I risultati di Amazon Fraud Detector devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| FraudDetector.4 | Le variabili di Amazon Fraud Detector devono essere etichettate | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| FSx.1 | I file system FSx per OpenZFS devono essere configurati per copiare i tag su backup e volumi. | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | BASSO | |
Periodic (Periodico) |
| FSx.2 | I file system FSx for Lustre devono essere configurati per copiare i tag nei backup | AWSBest practice di sicurezza di base, NIST SP 800-53 Rev. 5 | BASSO | Periodic (Periodico) | |
| FSx.3 | I file system FSx for OpenZFS devono essere configurati per la distribuzione Multi-AZ | AWSLe migliori pratiche di sicurezza di base | MEDIO | Periodic (Periodico) | |
| FSx.4 | I file system FSx for NetApp ONTAP devono essere configurati per l'implementazione Multi-AZ | AWSBest practice di sicurezza di base | MEDIO | Periodic (Periodico) | |
| FSx.5 | I file system FSx for Windows File Server devono essere configurati Multi-AZ per la distribuzione | AWSBest practice di sicurezza di base | MEDIO | Periodic (Periodico) | |
| Glue.1 | AWS Gluei lavori devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| Glue.3 | AWS Gluele trasformazioni di apprendimento automatico devono essere crittografate quando sono inattive | AWSLe migliori pratiche di sicurezza di base | MEDIO | Modifica attivata | |
| Glue.4 | AWS GlueI job Spark devono essere eseguiti su versioni supportate di AWS Glue | AWSMigliori pratiche di sicurezza di base, NIST SP 800-53 Rev. 5 | MEDIO | Modifica attivata | |
| GlobalAccelerator.1 | Gli acceleratori Global Accelerator devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| GuardDuty.1 | GuardDuty dovrebbe essere abilitato | AWSBest practice di sicurezza di base, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 | HIGH (ELEVATO) | |
Periodic (Periodico) |
| GuardDuty.2 | GuardDuty i filtri devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| GuardDuty.3 | GuardDuty Gli IPSets devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| GuardDuty.4 | GuardDuty i rilevatori devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| GuardDuty.5 | GuardDuty EKS Audit Log Monitoring deve essere abilitato | AWSMigliori pratiche di sicurezza di base | HIGH (ELEVATO) | Periodic (Periodico) | |
| GuardDuty.6 | GuardDuty La protezione Lambda deve essere abilitata | AWSBest practice di sicurezza di base, PCI DSS v4.0.1 | HIGH (ELEVATO) | Periodic (Periodico) | |
| GuardDuty.7 | GuardDuty EKS Runtime Monitoring deve essere abilitato | AWSBest practice di sicurezza di base, PCI DSS v4.0.1 | HIGH (ELEVATO) | Periodic (Periodico) | |
| GuardDuty.8 | GuardDuty La protezione da malware per EC2 deve essere abilitata | AWSLe migliori pratiche di sicurezza di base | HIGH (ELEVATO) | Periodic (Periodico) | |
| GuardDuty.9 | GuardDuty La protezione RDS deve essere abilitata | AWSBest practice di sicurezza di base, PCI DSS v4.0.1 | HIGH (ELEVATO) | Periodic (Periodico) | |
| GuardDuty.10 | GuardDuty La protezione S3 deve essere abilitata | AWSBest practice di sicurezza di base, PCI DSS v4.0.1 | HIGH (ELEVATO) | Periodic (Periodico) | |
| GuardDuty.11 | GuardDuty Il monitoraggio del runtime deve essere abilitato | AWSMigliori pratiche di sicurezza di base | HIGH (ELEVATO) | Periodic (Periodico) | |
| GuardDuty.12 | GuardDuty Il monitoraggio del runtime ECS deve essere abilitato | AWSMigliori pratiche di sicurezza di base | MEDIO | Periodic (Periodico) | |
| GuardDuty.13 | GuardDuty Il monitoraggio del runtime EC2 deve essere abilitato | AWSLe migliori pratiche di sicurezza di base | MEDIO | Periodic (Periodico) | |
| IAM.1 | Le politiche IAM non dovrebbero consentire privilegi amministrativi completi «*» | Benchmark CIS AWS Foundations v1.2.0, best practice di sicurezza di base v1.0.0, PCI DSS v3.2.1, benchmark CIS AWS Foundations v1.4.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 AWS Rev. 2 | HIGH (ELEVATO) | |
Modifica attivata |
| IAM.2 | Gli utenti IAM non devono avere policy IAM allegate | Benchmark CIS AWS Foundations v5.0.0, benchmark CIS Foundations v3.0.0, benchmark CIS AWS Foundations v1.2.0, best practice di sicurezza di base v1.0.0, PCI AWS DSS v3.2.1, NIST SP 800-53 Rev. 5AWS, NIST SP 800-171 Rev. 2 | BASSO | |
Modifica attivata |
| IAM.3 | Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno | Benchmark CIS AWS Foundations v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, Benchmark CIS Foundations v1.2.0, AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, AWS PCI DSS v4.0.1 AWS | MEDIO | |
Periodic (Periodico) |
| IAM.4 | La chiave di accesso utente root IAM non dovrebbe esistere | Benchmark CIS AWS Foundations v5.0.0, benchmark CIS Foundations v3.0.0, benchmark CIS AWS Foundations v1.4.0, benchmark CIS Foundations v1.2.0, Best practice di AWS sicurezza di base v1.0.0, PCI DSS v3.2.1, AWS NIST SP 800-53 Rev. 5 AWS | CRITICO | |
Periodic (Periodico) |
| IAM.5 | L'MFA deve essere abilitata per tutti gli utenti IAM che dispongono di una password di console | Benchmark CIS AWS Foundations v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, Benchmark CIS Foundations v1.2.0, AWS Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, AWS PCI DSS v4.0.1 AWS | MEDIO | |
Periodic (Periodico) |
| IAM.6 | La MFA hardware deve essere abilitata per l'utente root | Benchmark CIS AWS Foundations v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, Benchmark AWS CIS Foundations v1.2.0, Best practice di sicurezza di base, NIST SP 800-53 Rev. 5, AWS PCI DSS v3.2.1, PCI DSS AWS v4.0.1 | CRITICO | |
Periodic (Periodico) |
| IAM.7 | Le politiche relative alle password per gli utenti IAM dovrebbero avere configurazioni solide | AWSBest practice di sicurezza di base, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MEDIO | |
Periodic (Periodico) |
| IAM.8 | Le credenziali utente IAM non utilizzate devono essere rimosse | Benchmark CIS AWS Foundations v1.2.0, migliori pratiche di sicurezza di AWS base, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 | MEDIO | |
Periodic (Periodico) |
| IAM.9 | L'MFA deve essere abilitata per l'utente root | Benchmark CIS AWS Foundations versione 5.0.0, benchmark CIS Foundations versione 3.0.0, benchmark CIS AWS Foundations versione 1.4.0, benchmark CIS Foundations v1.2.0, AWS NIST SP 800-53 Rev. 5, PCI DSS versione 3.2.1, PCI AWS DSS versione 4.0.1 | CRITICO | |
Periodic (Periodico) |
| IAM.10 | Le politiche relative alle password per gli utenti IAM dovrebbero avere configurazioni solide | NIST SP 800-171 Rev. 2, PCI DSS versione 3.2.1 | MEDIO | |
Periodic (Periodico) |
| IAM.11 | Assicurati che la politica delle password IAM richieda almeno una lettera maiuscola | Benchmark CIS AWS Foundations versione 1.2.0, NIST SP 800-171 Rev. 2, PCI DSS versione 4.0.1 | MEDIO | |
Periodic (Periodico) |
| IAM.12 | Assicurati che la politica delle password IAM richieda almeno una lettera minuscola | Benchmark CIS AWS Foundations versione 1.2.0, NIST SP 800-171 Rev. 2, PCI DSS versione 4.0.1 | MEDIO | |
Periodic (Periodico) |
| IAM.13 | Assicurati che la politica delle password IAM richieda almeno un simbolo | Benchmark CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2 | MEDIO | |
Periodic (Periodico) |
| IAM.14 | Assicurati che la politica delle password IAM richieda almeno un numero | Benchmark CIS AWS Foundations versione 1.2.0, NIST SP 800-171 Rev. 2, PCI DSS versione 4.0.1 | MEDIO | |
Periodic (Periodico) |
| IAM.15 | Assicurati che la politica delle password di IAM richieda una lunghezza minima della password pari o superiore a 14 | Benchmark CIS AWS Foundations v5.0.0, benchmark CIS Foundations v3.0.0, benchmark CIS AWS Foundations v1.4.0, benchmark CIS Foundations v1.2.0, NIST SP AWS 800-171 Rev. 2 AWS | MEDIO | |
Periodic (Periodico) |
| IAM.16 | Verifica che la policy delle password di IAM impedisca il riutilizzo delle password | Benchmark CIS AWS Foundations v5.0.0, benchmark CIS Foundations v3.0.0, benchmark CIS AWS Foundations v1.4.0, benchmark CIS Foundations v1.2.0, NIST SP AWS 800-171 Rev. 2, PCI DSS v4.0.1 AWS | BASSO | |
Periodic (Periodico) |
| IAM.17 | Assicurati che la policy sulle password di IAM faccia scadere le password entro 90 giorni o meno | Benchmark CIS AWS Foundations versione 1.2.0, PCI DSS versione 4.0.1 | BASSO | |
Periodic (Periodico) |
| IAM.18 | Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con Supporto AWS | Benchmark CIS AWS Foundations v5.0.0, benchmark CIS Foundations v3.0.0, benchmark CIS AWS Foundations v1.4.0, benchmark CIS Foundations v1.2.0, NIST SP AWS 800-171 Rev. 2, PCI DSS v4.0.1 AWS | BASSO | |
Periodic (Periodico) |
| IAM.19 | L'MFA deve essere abilitata per tutti gli utenti IAM | NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS versione 3.2.1, PCI DSS versione 4.0.1 | MEDIO | |
Periodic (Periodico) |
| IAM.21 | Le policy gestite dai clienti IAM che crei non dovrebbero consentire azioni jolly per i servizi | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | BASSO | |
Modifica attivata |
| IAM.22 | Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse | Benchmark CIS AWS Foundations v5.0.0, benchmark CIS Foundations v3.0.0, benchmark CIS AWS Foundations v1.4.0, NIST SP 800-171 Rev. 2 AWS | MEDIO | |
Periodic (Periodico) |
| IAM.23 | Gli analizzatori IAM Access Analyzer devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| IAM.24 | I ruoli IAM devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| IAM.25 | Gli utenti IAM devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| IAM.26 | SSL/TLS I certificati scaduti gestiti in IAM devono essere rimossi | Benchmark CIS AWS Foundations v5.0.0, benchmark CIS Foundations v3.0.0 AWS | MEDIO | Periodic (Periodico) | |
| IAM.27 | Le identità IAM non dovrebbero avere la AWSCloudShellFullAccess policy allegata | Benchmark CIS AWS Foundations v5.0.0, benchmark CIS Foundations v3.0.0 AWS | MEDIO | Modifica attivata | |
| IAM.28 | L'analizzatore di accesso esterno IAM Access Analyzer deve essere abilitato | Benchmark CIS AWS Foundations v5.0.0, benchmark CIS Foundations v3.0.0 AWS | HIGH (ELEVATO) | Periodic (Periodico) | |
| Inspector.1 | La scansione di Amazon Inspector EC2 deve essere abilitata | AWSBest practice di sicurezza di base, PCI DSS v4.0.1 | HIGH (ELEVATO) | Periodic (Periodico) | |
| Inspector.2 | La scansione ECR di Amazon Inspector deve essere abilitata | AWSBest practice di sicurezza di base, PCI DSS v4.0.1 | HIGH (ELEVATO) | Periodic (Periodico) | |
| Inspector.3 | La scansione del codice Amazon Inspector Lambda deve essere abilitata | AWSBest practice di sicurezza di base, PCI DSS v4.0.1 | HIGH (ELEVATO) | Periodic (Periodico) | |
| Inspector.4 | La scansione standard di Amazon Inspector Lambda deve essere abilitata | AWSBest practice di sicurezza di base, PCI DSS v4.0.1 | HIGH (ELEVATO) | Periodic (Periodico) | |
| IoT.1 | AWS IoT Device Defenderi profili di sicurezza devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| IoT.2 | AWS IoT Corele azioni di mitigazione devono essere etichettate | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| IoT.3 | AWS IoT Corele dimensioni devono essere etichettate | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| IoT.4 | AWS IoT Coregli autorizzatori devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| IoT.5 | AWS IoT Coregli alias di ruolo devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| IoT.6 | AWS IoT Corele politiche devono essere etichettate | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| IoTEvents.1 | AWS IoT Eventsgli input devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| IoTEvents.2 | AWS IoT Eventsi modelli di rilevatori devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| IoTEvents.3 | AWS IoT Eventsi modelli di allarme devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| IoTSiteWise.1 | AWS IoT SiteWisei modelli di asset devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| IoTSiteWise.2 | AWS IoT SiteWisei pannelli di controllo devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| IoTSiteWise.3 | AWS IoT SiteWisei gateway devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| IoTSiteWise.4 | AWS IoT SiteWisei portali devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| IoTSiteWise.5 | AWS IoT SiteWisei progetti devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| IoTTwinMaker.1 | AWSI lavori di TwinMaker sincronizzazione IoT devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| IoTTwinMaker.2 | AWS TwinMaker Gli spazi di lavoro IoT devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| IoTTwinMaker.3 | AWS TwinMaker Le scene IoT devono essere etichettate | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| IoTTwinMaker.4 | AWS TwinMaker Le entità IoT devono essere etichettate | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| IoTWireless.1 | AWSI gruppi multicast IoT Wireless devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| IoTWireless.2 | AWSI profili dei servizi IoT Wireless devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| IoTWireless.3 | AWSLe attività IOT Wireless FUOTA devono essere etichettate | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| IVS.1 | Le coppie di chiavi di riproduzione IVS devono essere etichettate | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| IVS.2 | Le configurazioni di registrazione IVS devono essere contrassegnate | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| IVS.3 | I canali IVS devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| Keyspaces.1 | Gli spazi chiave di Amazon Keyspaces devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| Kinesis.1 | Gli stream Kinesis devono essere crittografati quando sono inattivi | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| Kinesis.2 | Gli stream Kinesis devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| Kinesis.3 | I flussi Kinesis devono avere un periodo di conservazione dei dati adeguato | AWSLe migliori pratiche di sicurezza di base | MEDIO | Modifica attivata | |
| KMS.1 | Le politiche gestite dai clienti IAM non dovrebbero consentire azioni di decrittografia su tutte le chiavi KMS | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| KMS.2 | I responsabili IAM non dovrebbero disporre di policy IAM in linea che consentano azioni di decrittografia su tutte le chiavi KMS | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| KMS.3 | AWS KMS keysnon deve essere eliminato involontariamente | AWSBuone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | CRITICO | |
Modifica attivata |
| KMS.4 | AWS KMS keyla rotazione dovrebbe essere abilitata | Benchmark CIS AWS Foundations versione 5.0.0, benchmark CIS Foundations versione 3.0.0, benchmark CIS AWS Foundations versione 1.4.0, benchmark CIS Foundations v1.2.0, AWS NIST SP 800-53 Rev. 5, PCI DSS versione 3.2.1, PCI AWS DSS versione 4.0.1 | MEDIO | |
Periodic (Periodico) |
| KMS.5 | Le chiavi KMS non devono essere accessibili al pubblico | AWSLe migliori pratiche di sicurezza di base | CRITICO | Modifica attivata | |
| Lambda.1 | Le politiche delle funzioni Lambda dovrebbero vietare l'accesso pubblico | AWSBest practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | CRITICO | |
Modifica attivata |
| Lambda.2 | Le funzioni Lambda devono utilizzare runtime supportati | AWSBest practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
Modifica attivata |
| Lambda.3 | Le funzioni Lambda devono trovarsi in un VPC | PCI DSS versione 3.2.1, NIST SP 800-53 Rev. 5 | BASSO | |
Modifica attivata |
| Lambda.5 | Le funzioni VPC Lambda devono funzionare in più zone di disponibilità | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| Lambda.6 | Le funzioni Lambda devono essere etichettate | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| Lambda.7 | Le funzioni Lambda devono avere la traccia AWS X-Ray attiva abilitata | NIST SP 800-53 Rev. 5 | BASSO | Modifica attivata | |
| Macie.1 | Amazon Macie dovrebbe essere abilitato | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Periodic (Periodico) |
| Macie.2 | Il rilevamento automatico dei dati sensibili di Macie dovrebbe essere abilitato | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ELEVATO) | Periodic (Periodico) | |
| MSK.1 | I cluster MSK devono essere crittografati durante il transito tra i nodi del broker | AWSBest practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
Modifica attivata |
| MSK.2 | I cluster MSK dovrebbero avere configurato un monitoraggio avanzato | NIST SP 800-53 Rev. 5 | BASSO | |
Modifica attivata |
| MSK.3 | I connettori MSK Connect devono essere crittografati in transito | AWSMigliori pratiche di sicurezza di base, PCI DSS v4.0.1 | MEDIO | Modifica attivata | |
| MSK.4 | L'accesso pubblico ai cluster MSK dovrebbe essere disabilitato | AWSMigliori pratiche di sicurezza di base | CRITICO | Modifica attivata | |
| MSK.5 | I connettori MSK dovrebbero avere la registrazione abilitata | AWSMigliori pratiche di sicurezza di base | MEDIO | Modifica attivata | |
| MSK.6 | I cluster MSK devono disabilitare l'accesso non autenticato | AWSLe migliori pratiche di sicurezza di base | MEDIO | Modifica attivata | |
| MQ.2 | I broker ActiveMQ devono trasmettere i log di controllo a CloudWatch | AWSMigliori pratiche di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | Modifica attivata | |
| MQ.4 | I broker Amazon MQ devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| MQ.5 | I broker ActiveMQ devono utilizzare la modalità di distribuzione active/standby | NIST SP 800-53 Rev. 5 | BASSO | |
Modifica attivata |
| MQ.6 | I broker RabbitMQ devono utilizzare la modalità di distribuzione cluster | NIST SP 800-53 Rev. 5 | BASSO | |
Modifica attivata |
| Neptune.1 | I cluster Neptune DB devono essere crittografati quando sono inattivi | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| Neptune.2 | I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch | AWSBest practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
Modifica attivata |
| Neptune.3 | Le istantanee del cluster Neptune DB non devono essere pubbliche | AWSMigliori pratiche di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | CRITICO | |
Modifica attivata |
| Neptune.4 | I cluster Neptune DB devono avere la protezione da eliminazione abilitata | AWSBuone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | BASSO | |
Modifica attivata |
| Neptune.5 | I cluster Neptune DB devono avere i backup automatici abilitati | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| Neptune.6 | Le istantanee del cluster Neptune DB devono essere crittografate a riposo | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| Neptune.7 | I cluster Neptune DB devono avere l'autenticazione del database IAM abilitata | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| Neptune.8 | I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | BASSO | |
Modifica attivata |
| Neptune.9 | I cluster Neptune DB devono essere distribuiti su più zone di disponibilità | NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| NetworkFirewall.1 | I firewall Network Firewall devono essere implementati su più zone di disponibilità | NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| NetworkFirewall.2 | La registrazione del Network Firewall deve essere abilitata | AWSBuone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MEDIO | |
Periodic (Periodico) |
| NetworkFirewall.3 | Le policy del Network Firewall devono avere almeno un gruppo di regole associato | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MEDIO | |
Modifica attivata |
| NetworkFirewall.4 | L'azione stateless predefinita per le policy di Network Firewall dovrebbe essere «drop or forward» per pacchetti completi. | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| NetworkFirewall.5 | L'azione stateless predefinita per le policy di Network Firewall dovrebbe essere drop or forward per i pacchetti frammentati | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MEDIO | |
Modifica attivata |
| NetworkFirewall.6 | Il gruppo di regole del firewall di rete stateless non deve essere vuoto | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MEDIO | |
Modifica attivata |
| NetworkFirewall.7 | I firewall Network Firewall devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| NetworkFirewall.8 | Le politiche firewall del Network Firewall devono essere etichettate | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| NetworkFirewall.9 | I firewall Network Firewall devono avere la protezione da eliminazione abilitata | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| NetworkFirewall.10 | I firewall Network Firewall devono avere la protezione da cambio di sottorete abilitata | AWSMigliori pratiche di sicurezza di base, NIST SP 800-53 Rev. 5 | MEDIO | Modifica attivata | |
| Opensearch.1 | OpenSearch i domini devono avere la crittografia a riposo abilitata | AWSBest practice di sicurezza di base v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| Opensearch.2 | OpenSearch i domini non dovrebbero essere accessibili al pubblico | AWSBest practice di sicurezza di base v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | CRITICO | |
Modifica attivata |
| Opensearch.3 | OpenSearch i domini devono crittografare i dati inviati tra i nodi | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| Opensearch.4 | OpenSearch la registrazione degli errori di dominio nei CloudWatch registri dovrebbe essere abilitata | AWSBuone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| Opensearch.5 | OpenSearch i domini devono avere la registrazione di controllo abilitata | AWSBest practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
Modifica attivata |
| Opensearch.6 | OpenSearch i domini devono avere almeno tre nodi di dati | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| Opensearch.7 | OpenSearch i domini devono avere un controllo granulare degli accessi abilitato | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ELEVATO) | |
Modifica attivata |
| Opensearch.8 | Le connessioni ai OpenSearch domini devono essere crittografate utilizzando la politica di sicurezza TLS più recente | AWSMigliori pratiche di sicurezza di base, NIST SP 800-53 Rev. 5 | MEDIO | Modifica attivata | |
| Opensearch.9 | OpenSearch i domini devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| Opensearch.10 | OpenSearch sui domini dovrebbe essere installato l'ultimo aggiornamento software | AWSBest practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
Modifica attivata |
| Opensearch.11 | OpenSearch i domini devono avere almeno tre nodi primari dedicati | NIST SP 800-53 Rev. 5 | BASSO | Periodic (Periodico) | |
| PCA.1 | AWS Private CAl'autorità di certificazione principale deve essere disabilitata | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | BASSO | |
Periodic (Periodico) |
| PCA.2 | AWSLe autorità di certificazione CA private devono essere contrassegnate | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| RDS.1 | L'istantanea RDS deve essere privata | AWSBest practice di sicurezza di base v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | CRITICO | |
Modifica attivata |
| RDS.2 | Le istanze DB RDS devono vietare l'accesso pubblico, come stabilito dalla configurazione PubliclyAccessible | Benchmark CIS AWS Foundations v5.0.0, benchmark CIS Foundations v3.0.0, migliori pratiche di sicurezza di base, AWS NIST SP 800-53 Rev. 5AWS, PCI DSS v3.2.1, PCI DSS v4.0.1 | CRITICO | |
Modifica attivata |
| RDS.3 | Le istanze DB RDS devono avere la crittografia a riposo abilitata | Benchmark CIS AWS Foundations v5.0.0, benchmark CIS Foundations v3.0.0, benchmark CIS AWS Foundations v1.4.0, best practice di sicurezza di base v1.0.0, NIST SP AWS 800-53 Rev. 5 AWS | MEDIO | |
Modifica attivata |
| RDS.4 | Le istantanee del cluster RDS e le istantanee del database devono essere crittografate quando sono inattive | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| RDS.5 | Le istanze DB RDS devono essere configurate con più zone di disponibilità | Benchmark CIS AWS Foundations v5.0.0, migliori pratiche di sicurezza di AWS base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| RDS.6 | Il monitoraggio avanzato deve essere configurato per le istanze DB RDS | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | BASSO | |
Modifica attivata |
| RDS.7 | I cluster RDS devono avere la protezione da eliminazione abilitata | AWSBuone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| RDS.8 | Le istanze DB RDS devono avere la protezione da eliminazione abilitata | AWSBuone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | BASSO | |
Modifica attivata |
| RDS.9 | Le istanze DB RDS devono pubblicare i log in Logs CloudWatch | AWSBest practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
Modifica attivata |
| RDS.10 | L'autenticazione IAM deve essere configurata per le istanze RDS | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| RDS.11 | Le istanze RDS devono avere i backup automatici abilitati | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| RDS.12 | L'autenticazione IAM deve essere configurata per i cluster RDS | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| RDS.13 | Gli aggiornamenti automatici delle versioni secondarie di RDS devono essere abilitati | Benchmark CIS AWS Foundations v5.0.0, benchmark CIS Foundations v3.0.0, migliori AWS pratiche di sicurezza di base, NIST SP 800-53 Rev. 5AWS, PCI DSS v4.0.1 | HIGH (ELEVATO) | |
Modifica attivata |
| RDS.14 | I cluster Amazon Aurora dovrebbero avere il backtracking abilitato | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| RDS.15 | I cluster RDS DB devono essere configurati per più zone di disponibilità | Benchmark CIS AWS Foundations v5.0.0, migliori pratiche di sicurezza di AWS base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| RDS.16 | I cluster Aurora DB devono essere configurati per copiare i tag nelle istantanee DB | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | BASSO | Modifica attivata | |
| RDS.17 | Le istanze DB RDS devono essere configurate per copiare i tag nelle istantanee | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | BASSO | |
Modifica attivata |
| RDS.19 | Gli abbonamenti esistenti per la notifica degli eventi RDS devono essere configurati per gli eventi critici del cluster | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | BASSO | |
Modifica attivata |
| RDS.20 | Gli abbonamenti esistenti per la notifica degli eventi RDS devono essere configurati per gli eventi critici delle istanze di database | AWSBest practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | BASSO | |
Modifica attivata |
| RDS.21 | È necessario configurare un abbonamento alle notifiche di eventi RDS per gli eventi critici del gruppo di parametri del database | AWSBest practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | BASSO | |
Modifica attivata |
| RDS.22 | È necessario configurare un abbonamento alle notifiche di eventi RDS per gli eventi critici dei gruppi di sicurezza del database | AWSBest practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | BASSO | |
Modifica attivata |
| RDS.23 | Le istanze RDS non devono utilizzare una porta predefinita del motore di database | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | BASSO | |
Modifica attivata |
| RDS.24 | I cluster di database RDS devono utilizzare un nome utente di amministratore personalizzato | AWSBest practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
Modifica attivata |
| RDS.25 | Le istanze del database RDS devono utilizzare un nome utente di amministratore personalizzato | AWSBest practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
Modifica attivata |
| RDS.26 | Le istanze DB RDS devono essere protette da un piano di backup | NIST SP 800-53 Rev. 5 | MEDIO | |
Periodic (Periodico) |
| RDS.27 | I cluster RDS DB devono essere crittografati quando sono inattivi | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| RDS.28 | I cluster RDS DB devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| RDS.29 | Le istantanee del cluster RDS DB devono essere contrassegnate | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| RDS.30 | Le istanze DB RDS devono essere etichettate | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| RDS.31 | I gruppi di sicurezza RDS DB devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| RDS.32 | Le istantanee RDS DB devono essere contrassegnate | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| RDS.33 | I gruppi di sottoreti RDS DB devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| RDS.34 | I cluster Aurora MySQL DB devono pubblicare i log di controllo su Logs CloudWatch | AWSBest practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
Modifica attivata |
| RDS.35 | Nei cluster RDS DB dovrebbe essere abilitato l'aggiornamento automatico delle versioni secondarie | AWSBest practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
Modifica attivata |
| RDS.36 | Le istanze DB di RDS per PostgreSQL devono pubblicare i log in Logs CloudWatch | AWSBest practice di sicurezza di base, PCI DSS v4.0.1 | MEDIO | Modifica attivata | |
| RDS.37 | I cluster Aurora PostgreSQL DB devono pubblicare i log in Logs CloudWatch | AWSBest practice di sicurezza di base, PCI DSS v4.0.1 | MEDIO | Modifica attivata | |
| RDS.38 | Le istanze DB RDS per PostgreSQL devono essere crittografate in transito | AWSBest practice di sicurezza di base | MEDIO | Periodic (Periodico) | |
| RDS.39 | Le istanze DB RDS per MySQL devono essere crittografate in transito | AWSLe migliori pratiche di sicurezza di base | MEDIO | Periodic (Periodico) | |
| RDS.40 | Le istanze DB di RDS per SQL Server devono pubblicare i log in Logs CloudWatch | AWSBest practice di sicurezza di base, NIST SP 800-53 Rev. 5 | MEDIO | Modifica attivata | |
| RDS.41 | Le istanze DB di RDS per SQL Server devono essere crittografate in transito | AWSBest practice di sicurezza di base | MEDIO | Periodic (Periodico) | |
| RDS.42 | Le istanze RDS per MariaDB DB dovrebbero pubblicare i log su Logs CloudWatch | AWSMigliori pratiche di sicurezza di base, NIST SP 800-53 Rev. 5 | MEDIO | Periodic (Periodico) | |
| RDS.43 | I proxy RDS DB devono richiedere la crittografia TLS per le connessioni | AWSMigliori pratiche di sicurezza di base | MEDIO | Periodic (Periodico) | |
| RDS.44 | Le istanze RDS per MariaDB DB devono essere crittografate durante il transito | AWSMigliori pratiche di sicurezza di base | MEDIO | Periodic (Periodico) | |
| RDS.45 | I cluster Aurora MySQL DB devono avere la registrazione di controllo abilitata | AWSBest practice di sicurezza di base, NIST SP 800-53 Rev. 5 | MEDIO | Periodic (Periodico) | |
| RDS.46 | Le istanze DB RDS non devono essere distribuite in sottoreti pubbliche con percorsi verso i gateway Internet | AWSLe migliori pratiche di sicurezza di base | HIGH (ELEVATO) | Periodic (Periodico) | |
| RDS.47 | I cluster DB RDS per PostgreSQL devono essere configurati per copiare i tag nelle istantanee del DB. | AWSBest practice di sicurezza di base | BASSO | Modifica attivata | |
| RDS.48 | I cluster DB RDS per MySQL devono essere configurati per copiare i tag nelle istantanee del DB | AWSLe migliori pratiche di sicurezza di base | BASSO | Modifica attivata | |
| RDS.50 | È necessario impostare un periodo di conservazione dei backup sufficiente per i cluster RDS DB | AWSBest practice di sicurezza di base v1.0.0 | MEDIO | |
Modifica attivata |
| RDS.51 | I cluster globali RDS devono essere eseguiti su una versione di Aurora MySQL supportata | AWSBest practice di sicurezza di base | HIGH (ELEVATO) | Modifica attivata | |
| Redshift.1 | I cluster Amazon Redshift dovrebbero vietare l'accesso pubblico | AWSBest practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | CRITICO | |
Modifica attivata |
| Redshift.2 | Le connessioni ai cluster Amazon Redshift devono essere crittografate in transito | AWSBest practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
Modifica attivata |
| Redshift.3 | I cluster Amazon Redshift devono avere le istantanee automatiche abilitate | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| Redshift.4 | I cluster Amazon Redshift devono avere la registrazione di controllo abilitata | AWSBest practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
Modifica attivata |
| Redshift.6 | Amazon Redshift dovrebbe avere gli upgrade automatici alle versioni principali abilitati | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| Redshift.7 | I cluster Redshift devono utilizzare un routing VPC avanzato | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| Redshift.8 | I cluster Amazon Redshift non devono utilizzare il nome utente di amministratore predefinito | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| Redshift.10 | I cluster Redshift devono essere crittografati quando sono inattivi | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| Redshift.11 | I cluster Redshift devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| Redshift.12 | Le notifiche di sottoscrizione agli eventi Redshift devono essere contrassegnate | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| Redshift.13 | Le istantanee del cluster Redshift devono essere etichettate | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| Redshift.14 | I gruppi di sottoreti del cluster Redshift devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| Redshift.15 | I gruppi di sicurezza Redshift dovrebbero consentire l'accesso alla porta del cluster solo da origini limitate | AWSBest practice di sicurezza di base, PCI DSS v4.0.1 | HIGH (ELEVATO) | Periodic (Periodico) | |
| Redshift.16 | I gruppi di sottoreti del cluster Redshift devono avere sottoreti provenienti da più zone di disponibilità | NIST SP 800-53 Rev. 5 | MEDIO | Modifica attivata | |
| Redshift.17 | I gruppi di parametri del cluster Redshift devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| Redshift.18 | I cluster Redshift devono avere le implementazioni abilitate Multi-AZ | AWSBest practice di sicurezza di base | MEDIO | Modifica attivata | |
| RedshiftServerless.1 | I gruppi di lavoro Serverless di Amazon Redshift devono utilizzare un routing VPC avanzato | AWSBest practice di sicurezza di base | HIGH (ELEVATO) | Periodic (Periodico) | |
| RedshiftServerless.2 | Le connessioni ai gruppi di lavoro Serverless di Redshift devono essere necessarie per utilizzare SSL | AWSBest practice di sicurezza di base | MEDIO | Periodic (Periodico) | |
| RedshiftServerless.3 | I gruppi di lavoro Serverless di Redshift dovrebbero vietare l'accesso pubblico | AWSBest practice di sicurezza di base | HIGH (ELEVATO) | Periodic (Periodico) | |
| RedshiftServerless.4 | I namespace Serverless di Redshift devono essere crittografati con gestione del cliente AWS KMS keys | NIST SP 800-53 Rev. 5 | MEDIO | Periodic (Periodico) | |
| RedshiftServerless.5 | I namespace Redshift Serverless non devono utilizzare il nome utente amministratore predefinito | AWSBest practice di sicurezza di base | MEDIO | Periodic (Periodico) | |
| RedshiftServerless.6 | I namespace Redshift Serverless devono esportare i log in Logs CloudWatch | AWSLe migliori pratiche di sicurezza di base | MEDIO | Periodic (Periodico) | |
| Route53.1 | I controlli sanitari della Route 53 devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| Route53.2 | Le zone ospitate pubbliche di Route 53 devono registrare le query DNS | AWSBest practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
Modifica attivata |
| S3.1 | I bucket S3 per uso generico devono avere le impostazioni di blocco dell'accesso pubblico abilitate | Benchmark CIS AWS Foundations v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, migliori pratiche di sicurezza di base, NIST SP AWS 800-53 Rev. 5, PCI DSS v3.2.1AWS, PCI DSS v4.0.1 | MEDIO | Periodic (Periodico) | |
| S3.2 | I bucket S3 per uso generico dovrebbero bloccare l'accesso pubblico alla lettura | AWSBest practice di sicurezza di base, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | CRITICO | Modifica attivata e periodica | |
| S3.3 | I bucket S3 per uso generico dovrebbero bloccare l'accesso pubblico in scrittura | AWSBest practice di sicurezza di base, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | CRITICO | Modifica attivata e periodica | |
| S3.5 | I bucket S3 per uso generico dovrebbero richiedere l'utilizzo di SSL | Benchmark CIS AWS Foundations v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, migliori pratiche di sicurezza di base, NIST SP AWS 800-53 Rev. 5, NIST SP 800-171 Rev. 2AWS, PCI DSS v3.2.1, PCI DSS v4.0.1 | MEDIO | Modifica attivata | |
| S3.6 | Le policy relative ai bucket per uso generico di S3 dovrebbero limitare l'accesso ad altri Account AWS | AWSMigliori pratiche di sicurezza di base, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | HIGH (ELEVATO) | Modifica attivata | |
| S3.7 | I bucket S3 per uso generico devono utilizzare la replica tra regioni | PCI DSS versione 3.2.1, NIST SP 800-53 Rev. 5 | BASSO | Modifica attivata | |
| S3.8 | I bucket S3 per uso generico dovrebbero bloccare l'accesso pubblico | Benchmark CIS AWS Foundations v5.0.0, CIS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, best practice di sicurezza di base, NIST SP AWS 800-53 Rev. 5, PCI DSS AWS v4.0.1 | HIGH (ELEVATO) | Modifica attivata | |
| S3.9 | I bucket S3 per uso generico devono avere la registrazione degli accessi al server abilitata | AWSBest practice di sicurezza di base, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MEDIO | Modifica attivata | |
| S3.10 | I bucket S3 per uso generico con il controllo delle versioni abilitato devono avere configurazioni del ciclo di vita | NIST SP 800-53 Rev. 5 | MEDIO | Modifica attivata | |
| S3.11 | I bucket S3 per uso generico devono avere le notifiche degli eventi abilitate | NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MEDIO | Modifica attivata | |
| S3.12 | Gli ACL non devono essere utilizzati per gestire l'accesso degli utenti ai bucket generici S3 | AWSBest practice di sicurezza di base, NIST SP 800-53 Rev. 5 | MEDIO | Modifica attivata | |
| S3.13 | I bucket S3 per uso generico devono avere configurazioni del ciclo di vita | AWSBest practice di sicurezza di base, NIST SP 800-53 Rev. 5 | BASSO | Modifica attivata | |
| S3.14 | I bucket S3 per uso generico devono avere il controllo delle versioni abilitato | NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | BASSO | Modifica attivata | |
| S3.15 | I bucket S3 per uso generico devono avere Object Lock abilitato | NIST SP 800-53 Rev. 5, PCI DSS versione 4.0.1 | MEDIO | Modifica attivata | |
| S3.17 | I bucket S3 per uso generico devono essere crittografati quando sono inattivi con AWS KMS keys | NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS versione 4.0.1 | MEDIO | Modifica attivata | |
| S3.19 | I punti di accesso S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate | AWSBest practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | CRITICO | Modifica attivata | |
| S3.20 | I bucket S3 per uso generico devono avere l'eliminazione MFA abilitata | Benchmark CIS AWS Foundations v5.0.0, benchmark CIS Foundations v3.0.0, benchmark CIS AWS Foundations v1.4.0, NIST SP 800-53 Rev. 5 AWS | BASSO | Modifica attivata | |
| S3.22 | I bucket S3 per uso generico devono registrare gli eventi di scrittura a livello di oggetto | Benchmark CIS AWS Foundations v5.0.0, benchmark CIS Foundations v3.0.0, PCI DSS AWS v4.0.1 | MEDIO | Periodic (Periodico) | |
| S3.23 | I bucket S3 per uso generico dovrebbero registrare gli eventi di lettura a livello di oggetto | Benchmark CIS AWS Foundations v5.0.0, benchmark CIS Foundations v3.0.0, PCI DSS AWS v4.0.1 | MEDIO | Periodic (Periodico) | |
| S3.24 | I punti di Multi-Region accesso S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate | AWSBest practice di sicurezza di base, PCI DSS v4.0.1 | HIGH (ELEVATO) | Modifica attivata | |
| S3.25 | I bucket di directory S3 devono avere configurazioni del ciclo di vita | AWSBest practice di sicurezza di base | BASSO | Modifica attivata | |
| SageMaker.1 | Le istanze di SageMaker notebook Amazon non devono avere accesso diretto a Internet | AWSBest practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | HIGH (ELEVATO) | |
Periodic (Periodico) |
| SageMaker.2 | SageMaker le istanze dei notebook devono essere avviate in un VPC personalizzato | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ELEVATO) | |
Modifica attivata |
| SageMaker.3 | Gli utenti non devono avere accesso root alle istanze del SageMaker notebook | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ELEVATO) | |
Modifica attivata |
| SageMaker.4 | SageMaker le varianti di produzione endpoint devono avere un numero iniziale di istanze superiore a 1 | AWSBest practice di sicurezza di base, NIST SP 800-53 Rev. 5 | MEDIO | Periodic (Periodico) | |
| SageMaker.5 | SageMaker i modelli devono avere l'isolamento della rete abilitato | AWSMigliori pratiche di sicurezza di base | MEDIO | Modifica attivata | |
| SageMaker.6 | SageMaker le configurazioni delle immagini delle app devono essere contrassegnate | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| SageMaker.7 | SageMaker le immagini devono essere etichettate | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| SageMaker.8 | SageMaker le istanze di notebook devono essere eseguite su piattaforme supportate | AWSBest practice di sicurezza di base | MEDIO | Periodic (Periodico) | |
| SageMaker.9 | SageMaker le definizioni dei lavori relativi alla qualità dei dati dovrebbero avere la crittografia del traffico tra container abilitata | AWSBest practice di sicurezza di base v1.0.0 | MEDIO | |
Modifica attivata |
| SageMaker.10 | SageMaker le definizioni dei processi di spiegabilità dei modelli devono avere abilitata la crittografia del traffico tra container | AWSBest practice di sicurezza di base v1.0.0 | MEDIO | |
Modifica attivata |
| SageMaker.11 | SageMaker le definizioni dei processi di qualità dei dati devono avere l'isolamento della rete abilitato | AWSBest practice di sicurezza di base v1.0.0 | MEDIO | |
Modifica attivata |
| SageMaker.12 | SageMaker le definizioni dei job di model bias dovrebbero avere l'isolamento della rete abilitato | AWSBest practice di sicurezza di base v1.0.0 | MEDIO | |
Modifica attivata |
| SageMaker.13 | SageMaker le definizioni dei processi di qualità del modello dovrebbero avere la crittografia del traffico tra container abilitata | AWSBest practice di sicurezza di base v1.0.0 | MEDIO | |
Modifica attivata |
| SageMaker.14 | SageMaker le pianificazioni di monitoraggio dovrebbero avere l'isolamento della rete abilitato | AWSBest practice di sicurezza di base v1.0.0 | MEDIO | |
Modifica attivata |
| SageMaker.15 | SageMaker le definizioni dei job di model bias devono avere abilitata la crittografia del traffico tra container | AWSBest practice di sicurezza di base v1.0.0 | MEDIO | |
Modifica attivata |
| SageMaker.16 | SageMaker i modelli dovrebbero utilizzare il registro privato in VPC per i contenitori primari | AWSLe migliori pratiche di sicurezza di base | MEDIO | Modifica attivata | |
| SageMaker.17 | SageMaker i negozi offline dei gruppi di funzionalità devono essere crittografati con chiavi AWS KMS | AWSMigliori pratiche di sicurezza di base | MEDIO | Modifica attivata | |
| SageMaker.18 | SageMaker i negozi online di gruppi di funzionalità con archiviazione standard devono essere crittografati con chiavi AWS KMS | NIST SP 800-53 Rev. 5 | MEDIO | Modifica attivata | |
| SageMaker.19 | SageMaker i modelli dovrebbero utilizzare il registro privato in VPC per pipeline di inferenza multi-contenitore | AWSLe migliori pratiche di sicurezza di base | MEDIO | Modifica attivata | |
| SageMaker.20 | SageMaker le definizioni dei processi di spiegabilità del modello dovrebbero avere l'isolamento della rete abilitato | AWSMigliori pratiche di sicurezza di base | HIGH (ELEVATO) | Modifica attivata | |
| SageMaker.21 | SageMaker le istanze dei notebook devono essere crittografate con chiavi gestite dal cliente AWS KMS | AWSBest practice di sicurezza di base | MEDIO | Modifica attivata | |
| SageMaker.22 | SageMaker le pianificazioni di monitoraggio dovrebbero avere la crittografia del traffico tra container abilitata | AWSLe migliori pratiche di sicurezza di base | MEDIO | Modifica attivata | |
| SageMaker.23 | SageMaker gli esperimenti di inferenza dovrebbero avere il volume di archiviazione delle istanze crittografato con chiavi gestite dal cliente AWS KMS | AWSLe migliori pratiche di sicurezza di base | MEDIO | Modifica attivata | |
| SageMaker.24 | SageMaker gli esperimenti di inferenza dovrebbero avere l'archiviazione dei dati crittografata con chiavi gestite dal cliente AWS KMS | AWSLe migliori pratiche di sicurezza di base | MEDIO | Modifica attivata | |
| SageMaker.25 | SageMaker le definizioni dei processi di qualità del modello dovrebbero avere l'isolamento della rete abilitato | AWSMigliori pratiche di sicurezza di base | HIGH (ELEVATO) | Modifica attivata | |
| SecretsManager.1 | I segreti di Secrets Manager devono avere la rotazione automatica abilitata | AWSBest practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
Modifica attivata |
| SecretsManager.2 | I segreti di Secrets Manager configurati con rotazione automatica dovrebbero ruotare correttamente | AWSBest practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
Modifica attivata |
| SecretsManager.3 | Rimuovi i segreti inutilizzati di Secrets Manager | AWSBest practice di sicurezza di base, NIST SP 800-53 Rev. 5 | MEDIO | |
Periodic (Periodico) |
| SecretsManager.4 | I segreti di Secrets Manager devono essere ruotati entro un determinato numero di giorni | AWSBest practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
Periodic (Periodico) |
| SecretsManager.5 | I segreti di Secrets Manager devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| ServiceCatalog.1 | I portafogli Service Catalog devono essere condivisi solo all'interno di un'AWSorganizzazione | AWSBest practice di sicurezza di base, NIST SP 800-53 Rev. 5 | MEDIO | Periodic (Periodico) | |
| SES.1 | Gli elenchi di contatti SES devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| SES.2 | I set di configurazione SES devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| SES.3 | I set di configurazione SES devono avere TLS abilitato per l'invio di e-mail | AWSLe migliori pratiche di sicurezza di base | MEDIO | Modifica attivata | |
| SNS.1 | Gli argomenti SNS devono essere crittografati a riposo utilizzando AWS KMS | NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MEDIO | Modifica attivata | |
| SNS.3 | Gli argomenti SNS devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| SNS.4 | Le politiche di accesso agli argomenti di SNS non dovrebbero consentire l'accesso pubblico | AWSLe migliori pratiche di sicurezza di base | CRITICO | Modifica attivata | |
| SQS.1 | Le code di Amazon SQS devono essere crittografate quando sono inattive | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| SQS.2 | Le code SQS devono essere etichettate | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| SQS.3 | Le politiche di accesso alla coda di SQS non dovrebbero consentire l'accesso pubblico | AWSLe migliori pratiche di sicurezza di base | CRITICO | Modifica attivata | |
| SSM.1 | Le istanze EC2 devono essere gestite da AWS Systems Manager | AWSBest practice di sicurezza di base v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| SSM.2 | Le istanze EC2 gestite da Systems Manager devono avere uno stato di conformità delle patch pari a CONFORME dopo l'installazione della patch. | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 | HIGH (ELEVATO) | |
Modifica attivata |
| SSM.3 | Le istanze EC2 gestite da Systems Manager devono avere uno stato di conformità dell'associazione pari a COMPLIANT | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | BASSO | |
Modifica attivata |
| SSM.4 | I documenti SSM non devono essere pubblici | AWSBuone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | CRITICO | |
Periodic (Periodico) |
| SSM.5 | I documenti SSM devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| SSM.6 | SSM Automation dovrebbe avere CloudWatch la registrazione abilitata | AWSBest practice di sicurezza di base v1.0.0 | MEDIO | Periodic (Periodico) | |
| SSM.7 | I documenti SSM devono avere l'impostazione di condivisione pubblica a blocchi abilitata | AWSBest practice di sicurezza di base v1.0.0 | CRITICO | Periodic (Periodico) | |
| StepFunctions.1 | Le macchine a stati Step Functions dovrebbero avere la registrazione attivata | AWSBest practice di sicurezza di base v1.0.0, PCI DSS v4.0.1 | MEDIO | |
Modifica attivata |
| StepFunctions.2 | Le attività di Step Functions devono essere etichettate | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| Transfer.1 | I flussi di lavoro Transfer Family devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| Transfer.2 | I server Transfer Family non devono utilizzare il protocollo FTP per la connessione agli endpoint | AWSBest practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | Periodic (Periodico) | |
| Transfer.3 | I connettori Transfer Family devono avere la registrazione abilitata | AWSMigliori pratiche di sicurezza di base, NIST SP 800-53 Rev. 5 | MEDIO | Modifica attivata | |
| Transfer.4 | Gli accordi Transfer Family devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| Transfer.5 | I certificati Transfer Family devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| Transfer.6 | I connettori Transfer Family devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| Transfer.7 | I profili Transfer Family devono essere etichettati | AWSStandard di etichettatura delle risorse | BASSO | Modifica attivata | |
| WAF.1 | AWSLa registrazione WAF Classic Global Web ACL deve essere abilitata | AWSBest practice di sicurezza di base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
Periodic (Periodico) |
| WAF.2 | AWSLe regole regionali di WAF Classic devono avere almeno una condizione | AWSMigliori pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| WAF.3 | AWSI gruppi di regole regionali WAF Classic devono avere almeno una regola | AWSBuone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| WAF.4 | AWSGli ACL web regionali di WAF Classic devono avere almeno una regola o un gruppo di regole | AWSBuone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| WAF.6 | AWSLe regole globali di WAF Classic devono avere almeno una condizione | AWSBuone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| WAF.7 | AWSI gruppi di regole globali di WAF Classic devono avere almeno una regola | AWSBuone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| WAF.8 | AWSGli ACL web globali di WAF Classic devono avere almeno una regola o un gruppo di regole | AWSBest practice di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| WAF.10 | AWSGli ACL Web WAF devono avere almeno una regola o un gruppo di regole | AWSBuone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Modifica attivata |
| WAF.11 | AWSLa registrazione ACL Web WAF deve essere abilitata | NIST SP 800-53 Rev. 5, PCI DSS versione 4.0.1 | BASSO | |
Periodic (Periodico) |
| WAF.12 | AWSLe regole WAF devono avere le CloudWatch metriche abilitate | AWSBuone pratiche di sicurezza di base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MEDIO | |
Modifica attivata |
| WorkSpaces.1 | WorkSpaces i volumi utente devono essere crittografati quando sono inattivi | AWSLe migliori pratiche di sicurezza di base | MEDIO | Modifica attivata | |
| WorkSpaces.2 | WorkSpaces i volumi root devono essere crittografati quando sono inattivi | AWSLe migliori pratiche di sicurezza di base | MEDIO | Modifica attivata |