Raccomandazioni sulla sicurezza per le risorse di Amazon Web Services (AWS)
Questo articolo elenca tutte le raccomandazioni che potrebbero essere visualizzate in Microsoft Defender per il cloud se si connette un account Amazon Web Services (AWS) usando la pagina Impostazioni ambiente. Le raccomandazioni visualizzate nell'ambiente sono basate sulle risorse protette e sulla configurazione personalizzata.
Per informazioni sulle azioni che è possibile eseguire in risposta a queste raccomandazioni, vedere Correggere le raccomandazioni in Defender per il cloud.
Il punteggio di sicurezza si basa sul numero di raccomandazioni di sicurezza completate. Per decidere quali raccomandazioni risolvere prima, esaminare la gravità di ogni raccomandazione e il potenziale effetto sul punteggio di sicurezza.
Raccomandazioni per l'ambiente di calcolo di AWS
Le istanze di Amazon EC2 gestite da Systems Manager devono avere uno stato di conformità delle patch conforme dopo un'installazione di patch
Descrizione: questo controllo controlla se lo stato di conformità della patch di Amazon EC2 Systems Manager è CONFORME o NON_COMPLIANT dopo l'installazione della patch nell'istanza. Controlla solo le istanze gestite da AWS Systems Manager Patch Manager. Non verifica se la patch è stata applicata entro il limite di 30 giorni previsto dal requisito PCI DSS '6.2'. Non convalida anche se le patch applicate sono state classificate come patch di sicurezza. È necessario creare gruppi di applicazione di patch con le impostazioni di base appropriate e assicurarsi che i sistemi nell'ambito siano gestiti da tali gruppi di patch in Systems Manager. Per altre informazioni sui gruppi di patch, vedere Guida utente di AWS Systems Manager.
Gravità: medio
Amazon EFS deve essere configurato per crittografare i dati dei file inattivi usando AWS Servizio di gestione delle chiavi
Descrizione: questo controllo controlla se Amazon Elastic File System è configurato per crittografare i dati dei file usando AWS Servizio di gestione delle chiavi. Il controllo ha esito negativo nei casi seguenti: *"Encrypted" è impostato su "false" nella risposta DescribeFileSystems. La chiave "KmsKeyId" nella risposta DescribeFileSystems non corrisponde al parametro KmsKeyId per efs-encrypted-check. Si noti che questo controllo non usa il parametro "KmsKeyId" per efs-encrypted-check. Controlla solo il valore di "Encrypted". Per un ulteriore livello di sicurezza per i dati sensibili in Amazon EFS, è consigliabile creare file system crittografati. Amazon EFS supporta la crittografia per i file system inattivi. È possibile abilitare la crittografia dei dati inattivi quando si crea un file system Amazon EFS. Per altre informazioni sulla crittografia Amazon EFS, vedere Crittografia dei dati in Amazon EFS nella Guida utente di Amazon Elastic File System.
Gravità: medio
I volumi Amazon EFS devono trovarsi nei piani di backup
Descrizione: questo controllo controlla se i file system Amazon Elastic File System (Amazon EFS) vengono aggiunti ai piani di backup in AWS Backup. Il controllo ha esito negativo se i file system Amazon EFS non sono inclusi nei piani di backup. L'inclusione di file system EFS nei piani di backup consente di proteggere i dati dall'eliminazione e dalla perdita di dati.
Gravità: medio
La protezione dell'eliminazione di Application Load Balancer deve essere abilitata
Descrizione: questo controllo controlla se una protezione di eliminazione di Application Load Balancer è abilitata. Il controllo ha esito negativo se la protezione dell'eliminazione non è configurata. Abilitare la protezione dell'eliminazione per proteggere il servizio di bilanciamento del carico dell'applicazione dall'eliminazione.
Gravità: medio
I gruppi di ridimensionamento automatico associati a un servizio di bilanciamento del carico devono usare i controlli di integrità
Descrizione: i gruppi di ridimensionamento automatico associati a un servizio di bilanciamento del carico usano i controlli di integrità del bilanciamento del carico elastico. PCI DSS non richiede il bilanciamento del carico o configurazioni a disponibilità elevata. Questa operazione è consigliata dalle procedure consigliate di AWS.
Gravità: Bassa
Per gli account AWS deve essere abilitato il provisioning automatico di Azure Arc
Descrizione: per una visibilità completa del contenuto di sicurezza di Microsoft Defender per i server, le istanze EC2 devono essere connesse ad Azure Arc. Per assicurarsi che tutte le istanze EC2 idonee ricevano automaticamente Azure Arc, abilitare il provisioning automatico da Defender per il cloud a livello di account AWS. Altre informazioni su Azure Arc e Microsoft Defender per server.
Gravità: alta
Le distribuzioni CloudFront devono avere configurato il failover di origine
Descrizione: questo controllo controlla se una distribuzione Amazon CloudFront è configurata con un gruppo di origine con due o più origini. Il failover dell'origine CloudFront può aumentare la disponibilità. Il failover di origine reindirizza automaticamente il traffico a un'origine secondaria se l'origine primaria non è disponibile o se restituisce codici di stato di risposta HTTP specifici.
Gravità: medio
Gli URL del repository di origine CodeBuild o Bitbucket devono usare OAuth
Descrizione: questo controllo controlla se l'URL del repository di origine GitHub o Bitbucket contiene token di accesso personali o un nome utente e una password. Le credenziali di autenticazione non devono mai essere archiviate o trasmesse in testo non crittografato o visualizzate nell'URL del repository. Anziché token di accesso personale o nome utente e password, è consigliabile usare OAuth per concedere l'autorizzazione per l'accesso ai repository GitHub o Bitbucket. L'uso di token di accesso personali o un nome utente e una password potrebbero esporre le credenziali all'esposizione imprevista dei dati e all'accesso non autorizzato.
Gravità: alta
Le variabili di ambiente del progetto CodeBuild non devono contenere credenziali
Descrizione: questo controllo controlla se il progetto contiene le variabili AWS_ACCESS_KEY_ID di ambiente e AWS_SECRET_ACCESS_KEY.
Le credenziali AWS_ACCESS_KEY_ID di autenticazione e AWS_SECRET_ACCESS_KEY non devono mai essere archiviate in testo non crittografato, in quanto ciò potrebbe causare l'esposizione imprevista dei dati e l'accesso non autorizzato.
Gravità: alta
I cluster DynamoDB Accelerator (DAX) devono essere crittografati inattivi
Descrizione: questo controllo controlla se un cluster DAX è crittografato inattivo. La crittografia dei dati inattivi riduce il rischio di accesso ai dati archiviati su disco da un utente non autenticato in AWS. La crittografia aggiunge un altro set di controlli di accesso per limitare la capacità di utenti non autorizzati di accedere ai dati. Ad esempio, le autorizzazioni API sono necessarie per decrittografare i dati prima di poterli leggere.
Gravità: medio
Le tabelle DynamoDB devono ridimensionare automaticamente la capacità con la domanda
Descrizione: questo controllo controlla se una tabella Amazon DynamoDB può ridimensionare la capacità di lettura e scrittura in base alle esigenze. Questo controllo passa se la tabella usa la modalità di capacità su richiesta o la modalità di provisioning con scalabilità automatica configurata. La scalabilità della capacità con la domanda evita le eccezioni di limitazione, che consente di mantenere la disponibilità delle applicazioni.
Gravità: medio
Le istanze EC2 devono essere connesse ad Azure Arc
Descrizione: Connessione le istanze EC2 in Azure Arc per avere visibilità completa sul contenuto di sicurezza di Microsoft Defender for Servers. Altre informazioni su Azure Arc e su Microsoft Defender per server nell'ambiente cloud ibrido.
Gravità: alta
Le istanze EC2 devono essere gestite da AWS Systems Manager
Descrizione: lo stato della conformità delle patch di Amazon EC2 Systems Manager è "CONFORME" o "NON_COMPLIANT" dopo l'installazione della patch nell'istanza. Vengono controllate solo le istanze gestite da AWS Systems Manager Patch Manager. Le patch applicate entro il limite di 30 giorni prescritto dal requisito PCI DSS '6' non vengono controllate.
Gravità: medio
I problemi di configurazione EDR devono essere risolti in EC2s
Descrizione: per proteggere le macchine virtuali dalle minacce e dalle vulnerabilità più recenti, risolvere tutti i problemi di configurazione identificati con la soluzione DIR (Endpoint Detection and Response) installata.
Nota: attualmente questa raccomandazione si applica solo alle risorse con Microsoft Defender per endpoint (MDE) abilitata.
Gravità: alta
La soluzione EDR deve essere installata in EC2s
Descrizione: per proteggere EC2s, installare una soluzione di rilevamento e risposta degli endpoint (EDR). Le richieste edR consentono di prevenire, rilevare, analizzare e rispondere alle minacce avanzate. Usare Microsoft Defender per server per distribuire Microsoft Defender per endpoint. Se la risorsa è classificata come "Non integra", non è installata una soluzione EDR supportata. Se è installata una soluzione EDR che non è individuabile da questa raccomandazione, è possibile esentarla.
Gravità: alta
Le istanze gestite da Systems Manager devono avere lo stato di conformità dell'associazione conforme
Descrizione: questo controllo controlla se lo stato della conformità dell'associazione di AWS Systems Manager è CONFORME o NON_COMPLIANT dopo l'esecuzione dell'associazione in un'istanza di . Il controllo passa se lo stato di conformità dell'associazione è CONFORME. Un'associazione di State Manager è una configurazione assegnata alle istanze gestite. La configurazione definisce lo stato che si vuole mantenere nelle istanze. Ad esempio, un'associazione può specificare che il software antivirus deve essere installato e in esecuzione nelle istanze o che determinate porte devono essere chiuse. Dopo aver creato una o più associazioni di State Manager, le informazioni sullo stato di conformità sono immediatamente disponibili nella console o in risposta ai comandi dell'interfaccia della riga di comando di AWS o alle corrispondenti operazioni api di Systems Manager. Per le associazioni, la conformità alla configurazione mostra gli stati conformi o non conformi e il livello di gravità assegnato all'associazione, ad esempio Critical o Medium. Per altre informazioni sulla conformità dell'associazione di State Manager, vedere Informazioni sulla conformità dell'associazione di State Manager nella Guida utente di AWS Systems Manager. È necessario configurare le istanze EC2 nell'ambito per l'associazione systems manager. È inoltre necessario configurare la baseline di patch per la classificazione di sicurezza del fornitore di patch e impostare la data di approvazione automatica per soddisfare il requisito 6.2 di PCI DSS 3.2.1. Per altre indicazioni su come creare un'associazione, vedere Creare un'associazione nella Guida utente di AWS Systems Manager. Per altre informazioni sull'uso delle patch in Systems Manager, vedere AWS Systems Manager Patch Manager nella Guida utente di AWS Systems Manager.
Gravità: Bassa
Le funzioni lambda devono avere una coda di messaggi non recapitabili configurata
Descrizione: questo controllo controlla se una funzione Lambda è configurata con una coda di messaggi non recapitabili. Il controllo ha esito negativo se la funzione Lambda non è configurata con una coda di messaggi non recapitabili. In alternativa a una destinazione di errore, è possibile configurare la funzione con una coda di messaggi non recapitabili per salvare gli eventi rimossi per un'ulteriore elaborazione. Una coda di messaggi non recapitabili funge da destinazione non riuscita. Viene usato quando un evento non riesce tutti i tentativi di elaborazione o scade senza essere elaborati. Una coda di messaggi non recapitabili consente di esaminare gli errori o le richieste non riuscite alla funzione Lambda per eseguire il debug o identificare comportamenti insoliti. Dal punto di vista della sicurezza, è importante comprendere il motivo per cui la funzione non è riuscita e assicurarsi che la funzione non rilasci dati o compromettere la sicurezza dei dati di conseguenza. Ad esempio, se la funzione non riesce a comunicare con una risorsa sottostante, potrebbe essere un sintomo di un attacco Denial of Service (DoS) altrove nella rete.
Gravità: medio
Le funzioni lambda devono usare runtime supportati
Descrizione: questo controllo verifica che le impostazioni della funzione Lambda per i runtime corrispondano ai valori previsti impostati per i runtime supportati per ogni linguaggio. Questo controllo verifica la presenza dei runtime seguenti: nodejs14.x, nodejs12.x, nodejs10.x, python3.8, python3.7, python3.6, ruby2.7, ruby2.5, java11, java8, java8.al2, go1.x, dotnetcore3.1, dotnetcore2.1runtime lambda sono basati su una combinazione di sistema operativo, linguaggio di programmazione e librerie software soggette a aggiornamenti di manutenzione e sicurezza. Quando un componente di runtime non è più supportato per gli aggiornamenti della sicurezza, lambda depreca il runtime. Anche se non è possibile creare funzioni che usano il runtime deprecato, la funzione è ancora disponibile per elaborare gli eventi di chiamata. Assicurarsi che le funzioni Lambda siano correnti e non usino ambienti di runtime non aggiornati. Per altre informazioni sui runtime supportati controllati da questo controllo per i linguaggi supportati, vedere AWS Lambda Runtimes (Runtime lambda AWS) nella Guida per sviluppatori di AWS Lambda.
Gravità: medio
Le porte di gestione delle istanze EC2 devono essere protette con il controllo di accesso alla rete JITE
Descrizione: Microsoft Defender per il cloud identificato alcune regole in ingresso eccessivamente permissive per le porte di gestione nella rete. Abilitare il controllo di accesso JUST-In-Time per proteggere le istanze da attacchi di forza bruta basati su Internet. Altre informazioni.
Gravità: alta
I gruppi di sicurezza EC2 inutilizzati devono essere rimossi
Descrizione: i gruppi di sicurezza devono essere collegati alle istanze di Amazon EC2 o a un ENI. La ricerca integra può indicare che sono presenti gruppi di sicurezza Amazon EC2 inutilizzati.
Gravità: Bassa
Raccomandazioni per i contenitori AWS
[Anteprima] Le immagini dei contenitori nel registro AWS devono avere i risultati della vulnerabilità risolti
Descrizione: Defender per il cloud analizza le immagini del Registro di sistema per individuare vulnerabilità note (CVE) e fornisce risultati dettagliati per ogni immagine analizzata. L'analisi e la correzione delle vulnerabilità per le immagini dei contenitori nel registro consentono di mantenere una catena di approvvigionamento software sicura e affidabile, riduce il rischio di eventi imprevisti di sicurezza e garantisce la conformità agli standard del settore.
Gravità: alta
Tipo: Valutazione della vulnerabilità
[Anteprima] I contenitori in esecuzione in AWS devono avere i risultati della vulnerabilità risolti
Descrizione: Defender per il cloud crea un inventario di tutti i carichi di lavoro dei contenitori attualmente in esecuzione nei cluster Kubernetes e fornisce report sulle vulnerabilità per tali carichi di lavoro associando le immagini usate e i report sulle vulnerabilità creati per le immagini del Registro di sistema. L'analisi e la correzione delle vulnerabilità dei carichi di lavoro dei contenitori è fondamentale per garantire una catena di approvvigionamento software affidabile e sicura, ridurre il rischio di incidenti di sicurezza e garantire la conformità agli standard di settore.
Gravità: alta
Tipo: Valutazione della vulnerabilità
I cluster del servizio Azure Kubernetes devono concedere le autorizzazioni AWS necessarie per Microsoft Defender per il cloud
Descrizione: Microsoft Defender per contenitori fornisce protezioni per i cluster del servizio Azure Kubernetes. Per monitorare le vulnerabilità e le minacce per la sicurezza del cluster, Defender per contenitori necessita delle autorizzazioni per l'account AWS. Queste autorizzazioni vengono usate per abilitare la registrazione del piano di controllo Kubernetes nel cluster e stabilire una pipeline affidabile tra il cluster e il back-end di Defender per il cloud nel cloud. Altre informazioni sulle funzionalità di sicurezza di Microsoft Defender per il cloud per gli ambienti in contenitori.
Gravità: alta
I cluster del servizio Azure Kubernetes devono avere installato l'estensione di Microsoft Defender per Azure Arc
Descrizione: l'estensione del cluster di Microsoft Defender offre funzionalità di sicurezza per i cluster del servizio Azure Kubernetes . L'estensione raccoglie i dati da un cluster e dai relativi nodi per identificare le vulnerabilità e le minacce per la sicurezza. L'estensione funziona con Kubernetes abilitato per Azure Arc. Altre informazioni sulle funzionalità di sicurezza di Microsoft Defender per il cloud per gli ambienti in contenitori.
Gravità: alta
Microsoft Defender per contenitori deve essere abilitato nei connettori AWS
Descrizione: Microsoft Defender per contenitori fornisce protezione dalle minacce in tempo reale per gli ambienti in contenitori e genera avvisi sulle attività sospette. Usare queste informazioni per rafforzare la sicurezza dei cluster Kubernetes e correggere i problemi di sicurezza.
Importante: quando Microsoft Defender per contenitori è stato abilitato e distribuito Azure Arc nei cluster del servizio Azure Kubernetes, inizieranno le protezioni e gli addebiti. Se non si distribuisce Azure Arc in un cluster, Defender per contenitori non lo protegge e non vengono addebitati addebiti per questo piano di Microsoft Defender per il cluster.
Gravità: alta
Raccomandazioni sul piano dati
Tutte le raccomandazioni sulla sicurezza del piano dati Kubernetes sono supportate per AWS dopo aver abilitato Criteri di Azure per Kubernetes.
Raccomandazioni per i dati AWS
I cluster Amazon Aurora devono avere abilitato il backtracking
Descrizione: questo controllo controlla se i cluster Amazon Aurora hanno abilitato il backtracking. I backup consentono di eseguire il ripristino più rapidamente da un evento imprevisto di sicurezza. Rafforzano anche la resilienza dei sistemi. Il backtracking Aurora riduce il tempo necessario per ripristinare un database in un momento specifico. Non richiede un ripristino del database per eseguire questa operazione. Per altre informazioni sul backtracking in Aurora, vedere Backtracking an Aurora DB cluster (Backtracking an Aurora DB cluster ) nella Guida dell'utente di Amazon Aurora.
Gravità: medio
Gli snapshot amazon EBS non devono essere ripristinabili pubblicamente
Descrizione: gli snapshot amazon EBS non devono essere ripristinabili pubblicamente da tutti, a meno che non siano esplicitamente consentiti, per evitare l'esposizione accidentale dei dati. Inoltre, l'autorizzazione per modificare le configurazioni di Amazon EBS deve essere limitata solo agli account AWS autorizzati.
Gravità: alta
Le definizioni delle attività Amazon ECS devono avere modalità di rete sicure e definizioni utente
Descrizione: questo controllo controlla se una definizione di attività Amazon ECS attiva con modalità di rete host dispone anche di definizioni di contenitori con privilegi o utenti. Il controllo ha esito negativo per le definizioni di attività con modalità di rete host e definizioni di contenitori in cui privileged=false o è vuoto e user=root o è vuoto. Se una definizione di attività ha privilegi elevati, è perché il cliente acconsente esplicitamente a tale configurazione. Questo controllo controlla la presenza di escalation dei privilegi imprevisti quando una definizione di attività ha abilitato la rete host, ma il cliente non ha accodato esplicitamente i privilegi elevati.
Gravità: alta
I domini di Amazon Elasticsearch Service devono crittografare i dati inviati tra nodi
Descrizione: questo controllo controlla se i domini Amazon ES hanno la crittografia da nodo a nodo abilitata. HTTPS (TLS) può essere usato per impedire a potenziali utenti malintenzionati di intercettare o manipolare il traffico di rete usando attacchi di tipo person-in-the-middle o simili. È consigliabile consentire solo le connessioni crittografate tramite HTTPS (TLS). L'abilitazione della crittografia da nodo a nodo per i domini Amazon ES garantisce che le comunicazioni all'interno del cluster siano crittografate in transito. Questa configurazione può comportare una riduzione delle prestazioni. Prima di abilitare questa opzione, è necessario tenere presente e testare il compromesso delle prestazioni.
Gravità: medio
I domini di Amazon Elasticsearch Service devono avere la crittografia dei dati inattivi abilitata
Descrizione: è importante abilitare la crittografia dei domini Amazon ES per proteggere i dati sensibili
Gravità: medio
Il database Amazon RDS deve essere crittografato usando la chiave gestita dal cliente
Descrizione: questo controllo identifica i database Di Servizi Desktop remoto crittografati con chiavi predefinite Servizio di gestione delle chiavi e non con chiavi gestite dal cliente. Come pratica principale, usare le chiavi gestite dal cliente per crittografare i dati nei database di Servizi Desktop remoto e mantenere il controllo delle chiavi e dei dati sui carichi di lavoro sensibili.
Gravità: medio
L'istanza di Amazon RDS deve essere configurata con le impostazioni di backup automatico
Descrizione: questo controllo identifica le istanze di Servizi Desktop remoto, che non sono impostate con l'impostazione di backup automatico. Se è impostato il backup automatico, Servizi Desktop remoto crea uno snapshot del volume di archiviazione dell'istanza del database, esegue il backup dell'intera istanza del database e non solo i singoli database, che forniscono il ripristino temporizzato. Il backup automatico viene eseguito durante l'intervallo di backup specificato e mantiene i backup per un periodo di tempo limitato, come definito nel periodo di conservazione. È consigliabile impostare backup automatici per i server Servizi Desktop remoto critici che consentono il processo di ripristino dei dati.
Gravità: medio
I cluster Amazon Redshift devono avere la registrazione di controllo abilitata
Descrizione: questo controllo controlla se è abilitata la registrazione di controllo di un cluster Amazon Redshift. La registrazione di controllo di Amazon Redshift fornisce informazioni aggiuntive sulle connessioni e sulle attività degli utenti nel cluster. Questi dati possono essere archiviati e protetti in Amazon S3 e possono essere utili nelle indagini e nei controlli di sicurezza. Per altre informazioni, vedere Registrazione di controllo del database nella Guida alla gestione dei cluster Amazon Redshift.
Gravità: medio
I cluster Amazon Redshift devono avere snapshot automatici abilitati
Descrizione: questo controllo controlla se i cluster Amazon Redshift hanno snapshot automatizzati abilitati. Controlla inoltre se il periodo di conservazione degli snapshot è maggiore o uguale a sette. I backup consentono di eseguire il ripristino più rapidamente da un evento imprevisto di sicurezza. Rafforzano la resilienza dei sistemi. Amazon Redshift acquisisce snapshot periodici per impostazione predefinita. Questo controllo controlla se gli snapshot automatici sono abilitati e conservati per almeno sette giorni. Per altre informazioni sugli snapshot automatizzati di Amazon Redshift, vedere Snapshot automatizzati nella Guida alla gestione dei cluster Amazon Redshift.
Gravità: medio
I cluster Amazon Redshift devono impedire l'accesso pubblico
Descrizione: è consigliabile usare i cluster Amazon Redshift per evitare l'accessibilità pubblica valutando il campo "publicAccessible" nell'elemento di configurazione del cluster.
Gravità: alta
Amazon Redshift dovrebbe avere aggiornamenti automatici alle versioni principali abilitate
Descrizione: questo controllo controlla se gli aggiornamenti automatici delle versioni principali sono abilitati per il cluster Amazon Redshift. L'abilitazione degli aggiornamenti automatici delle versioni principali garantisce l'installazione degli aggiornamenti delle versioni principali più recenti per i cluster Amazon Redshift durante la finestra di manutenzione. Questi aggiornamenti possono includere patch di sicurezza e correzioni di bug. Mantenere aggiornata l'installazione delle patch è un passaggio importante per la protezione dei sistemi.
Gravità: medio
Le code SQS di Amazon devono essere crittografate inattive
Descrizione: questo controllo controlla se le code SQS di Amazon sono crittografate inattive. La crittografia lato server (S edizione Standard) consente di trasmettere dati sensibili in code crittografate. Per proteggere il contenuto dei messaggi nelle code, S edizione Standard usa le chiavi gestite in AWS Servizio di gestione delle chiavi. Per altre informazioni, vedere Crittografia dei dati inattivi nella Guida per sviluppatori di Amazon Simple Queue Service.
Gravità: medio
È necessario configurare una sottoscrizione di notifiche degli eventi di Servizi Desktop remoto per gli eventi del cluster critici
Descrizione: questo controllo controlla se esiste una sottoscrizione di eventi Amazon RDS con notifiche abilitate per il tipo di origine seguente, coppie chiave-valore della categoria di eventi. DBCluster: ["maintenance" e "failure"]. Le notifiche degli eventi di Servizi Desktop remoto usano Amazon SNS per rendere conto delle modifiche apportate alla disponibilità o alla configurazione delle risorse di Servizi Desktop remoto. Queste notifiche consentono una risposta rapida. Per altre informazioni sulle notifiche degli eventi di Servizi Desktop remoto, vedere Using Amazon RDS event notification in the Amazon RDS User Guide (Uso della notifica degli eventi di Amazon RDS) nella Guida dell'utente di Amazon RDS.
Gravità: Bassa
È necessario configurare una sottoscrizione di notifiche degli eventi di Servizi Desktop remoto per gli eventi critici dell'istanza del database
Descrizione: questo controllo controlla se esiste una sottoscrizione di eventi Amazon RDS con le notifiche abilitate per il tipo di origine seguente. coppie chiave-valore della categoria di eventi. DBInstance: ["maintenance", "configuration change" e "failure"]. Le notifiche degli eventi di Servizi Desktop remoto usano Amazon SNS per rendere conto delle modifiche apportate alla disponibilità o alla configurazione delle risorse di Servizi Desktop remoto. Queste notifiche consentono una risposta rapida. Per altre informazioni sulle notifiche degli eventi di Servizi Desktop remoto, vedere Using Amazon RDS event notification in the Amazon RDS User Guide (Uso della notifica degli eventi di Amazon RDS) nella Guida dell'utente di Amazon RDS.
Gravità: Bassa
È necessario configurare una sottoscrizione di notifiche degli eventi di Servizi Desktop remoto per gli eventi critici del gruppo di parametri di database
Descrizione: questo controllo controlla se esiste una sottoscrizione di eventi Amazon RDS con le notifiche abilitate per il tipo di origine seguente. coppie chiave-valore della categoria di eventi. DBParameterGroup: ["configuration","change"]. Le notifiche degli eventi di Servizi Desktop remoto usano Amazon SNS per rendere conto delle modifiche apportate alla disponibilità o alla configurazione delle risorse di Servizi Desktop remoto. Queste notifiche consentono una risposta rapida. Per altre informazioni sulle notifiche degli eventi di Servizi Desktop remoto, vedere Using Amazon RDS event notification in the Amazon RDS User Guide (Uso della notifica degli eventi di Amazon RDS) nella Guida dell'utente di Amazon RDS.
Gravità: Bassa
È necessario configurare una sottoscrizione di notifiche degli eventi di Servizi Desktop remoto per gli eventi critici del gruppo di sicurezza del database
Descrizione: questo controllo controlla se esiste una sottoscrizione di eventi Amazon RDS con le notifiche abilitate per il tipo di origine seguente, coppie chiave-valore della categoria di eventi. DBSecurityGroup: ["configuration","change","failure"]. Le notifiche degli eventi di Servizi Desktop remoto usano Amazon SNS per rendere conto delle modifiche apportate alla disponibilità o alla configurazione delle risorse di Servizi Desktop remoto. Queste notifiche consentono una risposta rapida. Per altre informazioni sulle notifiche degli eventi di Servizi Desktop remoto, vedere Using Amazon RDS event notification in the Amazon RDS User Guide (Uso della notifica degli eventi di Amazon RDS) nella Guida dell'utente di Amazon RDS.
Gravità: Bassa
È necessario abilitare la registrazione api REST e WebSocket del gateway API
Descrizione: questo controllo controlla se tutte le fasi di un'API REST o WebSocket di Amazon API hanno abilitato la registrazione. Il controllo ha esito negativo se la registrazione non è abilitata per tutti i metodi di una fase o se il livello di registrazione non è né ERROR né INFO. Le fasi dell'API REST o dell'API WebSocket del gateway API devono avere i log pertinenti abilitati. La registrazione dell'esecuzione dell'API REST e WebSocket del gateway API fornisce record dettagliati delle richieste effettuate alle fasi DELL'API REST e WebSocket del gateway API. Le fasi includono le risposte back-end di integrazione api, le risposte dell'autorizzatore lambda e l'id richiesta per gli endpoint di integrazione AWS.
Gravità: medio
I dati della cache dell'API REST del gateway API API API devono essere crittografati inattivi
Descrizione: questo controllo controlla se tutti i metodi nelle fasi dell'API REST del gateway API con cache abilitata sono crittografati. Il controllo ha esito negativo se un metodo in una fase dell'API REST del gateway API è configurato per la cache e la cache non è crittografata. La crittografia dei dati inattivi riduce il rischio di accesso ai dati archiviati su disco da un utente non autenticato in AWS. Aggiunge un altro set di controlli di accesso per limitare la capacità degli utenti non autorizzati di accedere ai dati. Ad esempio, le autorizzazioni API sono necessarie per decrittografare i dati prima di poterli leggere. Le cache dell'API REST del gateway API API devono essere crittografate inattive per un ulteriore livello di sicurezza.
Gravità: medio
Le fasi dell'API REST del gateway API devono essere configurate per l'uso dei certificati SSL per l'autenticazione back-end
Descrizione: questo controllo controlla se le fasi dell'API REST di Amazon API Gateway hanno certificati SSL configurati. I sistemi back-end usano questi certificati per autenticare che le richieste in ingresso provengono dal gateway API. Le fasi dell'API REST del gateway API devono essere configurate con certificati SSL per consentire ai sistemi back-end di autenticare le richieste provenienti dal gateway API.
Gravità: medio
Le fasi dell'API REST del gateway API API devono avere la traccia X-Ray di AWS abilitata
Descrizione: questo controllo controlla se la traccia attiva di AWS X-Ray è abilitata per le fasi dell'API REST di Amazon API Gateway. La traccia attiva X-Ray consente una risposta più rapida alle modifiche delle prestazioni nell'infrastruttura sottostante. Le modifiche apportate alle prestazioni potrebbero causare una mancanza di disponibilità dell'API. La traccia attiva X-Ray fornisce metriche in tempo reale delle richieste utente che passano attraverso le operazioni dell'API REST del gateway API e i servizi connessi.
Gravità: Bassa
Il gateway API deve essere associato a un ACL Web DI AWS WAF
Descrizione: questo controllo controlla se una fase del gateway API usa un elenco di controllo di accesso Web (ACL) di AWS WAF. Questo controllo ha esito negativo se un ACL Web DI AWS WAF non è collegato a una fase del gateway API REST. AWS WAF è un web application firewall che consente di proteggere le applicazioni Web e le API dagli attacchi. Consente di configurare un elenco di controllo di accesso, ovvero un set di regole che consentono, bloccano o contano le richieste Web in base a regole e condizioni di sicurezza Web personalizzabili definite dall'utente. Assicurarsi che la fase del gateway API sia associata a un ACL Web DI AWS WAF per proteggerlo da attacchi dannosi.
Gravità: medio
La registrazione delle applicazioni e dei servizi di bilanciamento del carico classici deve essere abilitata
Descrizione: questo controllo controlla se il servizio di bilanciamento del carico dell'applicazione e il servizio di bilanciamento del carico classico hanno abilitato la registrazione. Il controllo ha esito negativo se access_logs.s3.enabled è false.
Il bilanciamento del carico elastico fornisce log di accesso che acquisisce informazioni dettagliate sulle richieste inviate al servizio di bilanciamento del carico. Ogni log contiene informazioni quali l'ora di ricezione della richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server. È possibile usare questi log di accesso per analizzare i modelli di traffico e risolvere i problemi.
Per altre informazioni, vedere Accedere ai log per il servizio di bilanciamento del carico classico nella Guida dell'utente per i servizi di bilanciamento del carico classici.
Gravità: medio
I volumi EBS collegati devono essere crittografati inattivi
Descrizione: questo controllo controlla se i volumi EBS che si trovano in uno stato collegato sono crittografati. Per superare questo controllo, i volumi EBS devono essere in uso e crittografati. Se il volume EBS non è collegato, non è soggetto a questo controllo. Per un ulteriore livello di sicurezza dei dati sensibili nei volumi EBS, è necessario abilitare la crittografia EBS inattivi. La crittografia Amazon EBS offre una soluzione di crittografia semplice per le risorse EBS che non richiedono la compilazione, la gestione e la protezione dell'infrastruttura di gestione delle chiavi. Usa AWS Servizio di gestione delle chiavi chiavi master del cliente durante la creazione di volumi e snapshot crittografati. Per altre informazioni sulla crittografia Amazon EBS, vedere Amazon EBS encryption (Crittografia Amazon EBS) nella Guida dell'utente amazon EC2 per le istanze linux.
Gravità: medio
Le istanze di replica di AWS Servizio Migrazione del database non devono essere pubbliche
Descrizione: per proteggere le istanze replicate dalle minacce. Un'istanza di replica privata deve avere un indirizzo IP privato che non è possibile accedere all'esterno della rete di replica. Un'istanza di replica deve avere un indirizzo IP privato quando i database di origine e di destinazione si trovano nella stessa rete e la rete è connessa al VPC dell'istanza di replica tramite vpn, AWS Direct Connessione o peering VPC. È anche necessario assicurarsi che l'accesso alla configurazione dell'istanza del Servizio Migrazione del database aws sia limitato solo agli utenti autorizzati. A tale scopo, limitare le autorizzazioni IAM degli utenti per modificare le impostazioni e le risorse del Servizio Migrazione del database AWS.
Gravità: alta
I listener di Load Balancer classici devono essere configurati con la terminazione HTTPS o TLS
Descrizione: questo controllo controlla se i listener di Load Balancer classici sono configurati con il protocollo HTTPS o TLS per le connessioni front-end (da client a servizio di bilanciamento del carico). Il controllo è applicabile se un'istanza di Load Balancer classica dispone di listener. Se il servizio di bilanciamento del carico classico non dispone di un listener configurato, il controllo non segnala alcun risultato. Il controllo passa se i listener di Load Balancer classici sono configurati con TLS o HTTPS per le connessioni front-end. Il controllo ha esito negativo se il listener non è configurato con TLS o HTTPS per le connessioni front-end. Prima di iniziare a usare un servizio di bilanciamento del carico, è necessario aggiungere uno o più listener. Un listener è un processo che usa il protocollo e la porta configurati per verificare la presenza di richieste di connessione. I listener possono supportare protocolli HTTP e HTTPS/TLS. È consigliabile usare sempre un listener HTTPS o TLS, in modo che il servizio di bilanciamento del carico faccia il lavoro di crittografia e decrittografia in transito.
Gravità: medio
I servizi di bilanciamento del carico classici devono avere lo svuotamento delle connessioni abilitato
Descrizione: questo controllo controlla se i servizi di bilanciamento del carico classico hanno abilitato lo svuotamento delle connessioni. L'abilitazione dello svuotamento delle connessioni nei servizi di bilanciamento del carico classici garantisce che il servizio di bilanciamento del carico interrompa l'invio di richieste alle istanze che stanno registrando o non integre. Mantiene aperte le connessioni esistenti. Ciò è utile per le istanze nei gruppi di ridimensionamento automatico, per assicurarsi che le connessioni non vengano interrotte bruscamente.
Gravità: medio
Le distribuzioni CloudFront devono avere AWS WAF abilitato
Descrizione: questo controllo controlla se le distribuzioni CloudFront sono associate a ACL Web AWS WAF o AWS WAFv2. Il controllo ha esito negativo se la distribuzione non è associata a un elenco di controllo di accesso Web. AWS WAF è un web application firewall che consente di proteggere le applicazioni Web e le API dagli attacchi. Consente di configurare un set di regole, denominato elenco di controllo di accesso Web (ACL Web), che consentono, bloccano o contano le richieste Web in base a regole e condizioni di sicurezza Web personalizzabili definite dall'utente. Assicurarsi che la distribuzione di CloudFront sia associata a un ACL Web DI AWS WAF per proteggerla da attacchi dannosi.
Gravità: medio
Le distribuzioni CloudFront devono avere la registrazione abilitata
Descrizione: questo controllo controlla se la registrazione dell'accesso al server è abilitata nelle distribuzioni CloudFront. Il controllo non riesce se la registrazione di accesso non è abilitata per una distribuzione. I log di accesso CloudFront forniscono informazioni dettagliate su ogni richiesta utente ricevuta da CloudFront. Ogni log contiene informazioni quali la data e l'ora di ricezione della richiesta, l'indirizzo IP del visualizzatore che ha effettuato la richiesta, l'origine della richiesta e il numero di porta della richiesta dal visualizzatore. Questi log sono utili per applicazioni quali controlli di sicurezza e accesso e indagini forensi. Per altre informazioni su come analizzare i log di accesso, vedere Eseguire query sui log di Amazon CloudFront nella Guida dell'utente di AmazonThen.
Gravità: medio
Le distribuzioni CloudFront devono richiedere la crittografia in transito
Descrizione: questo controllo controlla se una distribuzione Amazon CloudFront richiede ai visualizzatori di usare direttamente HTTPS o se usa il reindirizzamento. Il controllo ha esito negativo se ViewerProtocolPolicy è impostato su allow-all per defaultCacheBehavior o per cacheBehaviors. HTTPS (TLS) può essere usato per impedire a potenziali utenti malintenzionati di usare attacchi di tipo person-in-the-middle o simili per intercettare o manipolare il traffico di rete. È consigliabile consentire solo le connessioni crittografate tramite HTTPS (TLS). La crittografia dei dati in transito può influire sulle prestazioni. È necessario testare l'applicazione con questa funzionalità per comprendere il profilo delle prestazioni e l'impatto di TLS.
Gravità: medio
I log di CloudTrail devono essere crittografati inattivi usando Servizio di gestione delle chiavi CMK
Descrizione: è consigliabile configurare CloudTrail per l'uso di S edizione Standard-Servizio di gestione delle chiavi. La configurazione di CloudTrail per l'uso di S edizione Standard-Servizio di gestione delle chiavi fornisce più controlli di riservatezza sui dati di log come un determinato utente deve disporre dell'autorizzazione di lettura S3 per il bucket di log corrispondente e deve essere concessa l'autorizzazione di decrittografia dai criteri cmk.
Gravità: medio
Connessione ai cluster Amazon Redshift devono essere crittografati in transito
Descrizione: questo controllo controlla se le connessioni ai cluster Amazon Redshift sono necessarie per usare la crittografia in transito. Il controllo ha esito negativo se il parametro del cluster Amazon Redshift require_SSL non è impostato su 1. TLS può essere usato per impedire a potenziali utenti malintenzionati di usare attacchi di tipo person-in-the-middle o simili per intercettare o manipolare il traffico di rete. È consigliabile consentire solo le connessioni crittografate tramite TLS. La crittografia dei dati in transito può influire sulle prestazioni. È necessario testare l'applicazione con questa funzionalità per comprendere il profilo delle prestazioni e l'impatto di TLS.
Gravità: medio
Connessione ions ai domini Elasticsearch devono essere crittografati con TLS 1.2
Descrizione: questo controllo controlla se sono necessarie connessioni ai domini Elasticsearch per l'uso di TLS 1.2. Il controllo ha esito negativo se il dominio Elasticsearch TLSSecurityPolicy non è Policy-Min-TLS-1-2-2019-07. HTTPS (TLS) può essere usato per impedire a potenziali utenti malintenzionati di usare attacchi di tipo person-in-the-middle o simili per intercettare o manipolare il traffico di rete. È consigliabile consentire solo le connessioni crittografate tramite HTTPS (TLS). La crittografia dei dati in transito può influire sulle prestazioni. È necessario testare l'applicazione con questa funzionalità per comprendere il profilo delle prestazioni e l'impatto di TLS. TLS 1.2 offre diversi miglioramenti alla sicurezza rispetto alle versioni precedenti di TLS.
Gravità: medio
Le tabelle DynamoDB devono avere il ripristino temporizzato abilitato
Descrizione: questo controllo controlla se il ripristino temporizzato (PITR) è abilitato per una tabella Amazon DynamoDB. I backup consentono di eseguire il ripristino più rapidamente da un evento imprevisto di sicurezza. Rafforzano anche la resilienza dei sistemi. Il ripristino temporizzato dynamoDB automatizza i backup per le tabelle DynamoDB. Riduce il tempo necessario per il ripristino da operazioni di eliminazione o scrittura accidentali. Le tabelle DynamoDB con pitr abilitato possono essere ripristinate in qualsiasi momento negli ultimi 35 giorni.
Gravità: medio
La crittografia predefinita di EBS deve essere abilitata
Descrizione: questo controllo controlla se la crittografia a livello di account è abilitata per impostazione predefinita per Amazon Elastic Block Store (Amazon EBS). Il controllo ha esito negativo se la crittografia a livello di account non è abilitata. Quando la crittografia è abilitata per l'account, i volumi e le copie snapshot di Amazon EBS vengono crittografati inattivi. In questo modo viene aggiunto un altro livello di protezione per i dati. Per altre informazioni, vedere Crittografia per impostazione predefinita nella Guida utente di Amazon EC2 per le istanze linux. Si noti che i tipi di istanza seguenti non supportano la crittografia: R1, C1 e M1.
Gravità: medio
Gli ambienti Elastic Beanstalk devono avere abilitato la creazione di report sull'integrità avanzata
Descrizione: questo controllo controlla se la creazione di report sull'integrità avanzata è abilitata per gli ambienti Elastic Beanstalk aws. La creazione di report sull'integrità avanzata di Elastic Beanstalk consente una risposta più rapida alle modifiche apportate all'integrità dell'infrastruttura sottostante. Queste modifiche potrebbero comportare la mancanza di disponibilità dell'applicazione. La creazione di report sull'integrità avanzata di Elastic Beanstalk fornisce un descrittore di stato per misurare la gravità dei problemi identificati e identificare le possibili cause da analizzare. L'agente di integrità Elastic Beanstalk, incluso nelle ami (AMI) supportate, valuta i log e le metriche delle istanze EC2 dell'ambiente.
Gravità: Bassa
Gli aggiornamenti della piattaforma gestita di Elastic Beanstalk devono essere abilitati
Descrizione: questo controllo controlla se gli aggiornamenti della piattaforma gestita sono abilitati per l'ambiente Elastic Beanstalk. L'abilitazione degli aggiornamenti della piattaforma gestita garantisce l'installazione delle correzioni, degli aggiornamenti e delle funzionalità disponibili più recenti per l'ambiente. Mantenere aggiornata l'installazione delle patch è un passaggio importante per la protezione dei sistemi.
Gravità: alta
Il servizio di bilanciamento del carico elastico non deve avere un certificato ACM scaduto o scaduto in 90 giorni.
Descrizione: questo controllo identifica i servizi di bilanciamento del carico elastico (ELB) che usano certificati ACM scaduti o scaduti in 90 giorni. AWS Certificate Manager (ACM) è lo strumento preferito per il provisioning, la gestione e la distribuzione dei certificati server. Con ACM è possibile richiedere un certificato o distribuire un certificato ACM esistente o un certificato esterno nelle risorse AWS. Come procedura consigliata, è consigliabile reimportare i certificati scaduti o scaduti mantenendo al tempo stesso le associazioni ELB del certificato originale.
Gravità: alta
È necessario abilitare la registrazione degli errori del dominio Elasticsearch nei log di CloudWatch
Descrizione: questo controllo controlla se i domini Elasticsearch sono configurati per inviare i log degli errori ai log di CloudWatch. È consigliabile abilitare i log degli errori per i domini Elasticsearch e inviare tali log ai log di CloudWatch per la conservazione e la risposta. I log degli errori di dominio possono essere utili per controllare la sicurezza e l'accesso e possono aiutare a diagnosticare i problemi di disponibilità.
Gravità: medio
I domini Elasticsearch devono essere configurati con almeno tre nodi master dedicati
Descrizione: questo controllo controlla se i domini Elasticsearch sono configurati con almeno tre nodi master dedicati. Questo controllo ha esito negativo se il dominio non usa nodi master dedicati. Questo controllo passa se i domini Elasticsearch hanno cinque nodi master dedicati. Tuttavia, l'uso di più di tre nodi master potrebbe non essere necessario per attenuare il rischio di disponibilità e comporta un costo maggiore. Un dominio Elasticsearch richiede almeno tre nodi master dedicati per la disponibilità elevata e la tolleranza di errore. Le risorse dei nodi master dedicate possono essere vincolate durante le distribuzioni blu/verde del nodo dati perché sono disponibili più nodi da gestire. La distribuzione di un dominio Elasticsearch con almeno tre nodi master dedicati garantisce una capacità di risorse del nodo master e operazioni cluster sufficienti in caso di errore di un nodo.
Gravità: medio
I domini Elasticsearch devono avere almeno tre nodi dati
Descrizione: questo controllo controlla se i domini Elasticsearch sono configurati con almeno tre nodi dati e zoneAwarenessEnabled è true. Un dominio Elasticsearch richiede almeno tre nodi dati per la disponibilità elevata e la tolleranza di errore. La distribuzione di un dominio Elasticsearch con almeno tre nodi dati garantisce che le operazioni del cluster in caso di errore di un nodo.
Gravità: medio
I domini Elasticsearch devono avere la registrazione di controllo abilitata
Descrizione: questo controllo controlla se i domini Elasticsearch hanno la registrazione di controllo abilitata. Questo controllo ha esito negativo se non è abilitata la registrazione di controllo per un dominio Elasticsearch. I log di controllo sono altamente personalizzabili. Consentono di tenere traccia dell'attività degli utenti nei cluster Elasticsearch, tra cui operazioni riuscite e errori di autenticazione, richieste a OpenSearch, modifiche all'indice e query di ricerca in ingresso.
Gravità: medio
Il monitoraggio avanzato deve essere configurato per le istanze e i cluster del database Servizi Desktop remoto
Descrizione: questo controllo controlla se il monitoraggio avanzato è abilitato per le istanze del database Servizi Desktop remoto. In Amazon RDS, Il monitoraggio avanzato consente una risposta più rapida alle modifiche delle prestazioni nell'infrastruttura sottostante. Queste modifiche alle prestazioni potrebbero causare una mancanza di disponibilità dei dati. Il monitoraggio avanzato fornisce metriche in tempo reale del sistema operativo in cui viene eseguita l'istanza del database Servizi Desktop remoto. Un agente viene installato nell'istanza di . L'agente può ottenere metriche in modo più accurato di quanto sia possibile dal livello dell'hypervisor. Le metriche di monitoraggio avanzato sono utili quando si vuole vedere in che modo processi o thread diversi in un'istanza del database usano la CPU. Per altre informazioni, vedere Enhanced Monitoring (Monitoraggio avanzato) nella Guida dell'utente di Amazon RDS.
Gravità: Bassa
Verificare che la rotazione per i cmk creati dal cliente sia abilitata
Descrizione: AWS Servizio di gestione delle chiavi (Servizio di gestione delle chiavi) consente ai clienti di ruotare la chiave sottostante, ovvero il materiale della chiave archiviato all'interno del Servizio di gestione delle chiavi associato all'ID chiave della chiave master del cliente creata dal cliente (CMK). Si tratta della chiave di backup usata per eseguire operazioni di crittografia, ad esempio crittografia e decrittografia. La rotazione automatica delle chiavi mantiene attualmente tutte le chiavi di backup precedenti in modo che la decrittografia dei dati crittografati possa essere eseguita in modo trasparente. È consigliabile abilitare la rotazione delle chiavi cmk. La rotazione delle chiavi di crittografia consente di ridurre il potenziale impatto di una chiave compromessa perché non è possibile accedere ai dati crittografati con una nuova chiave con una chiave precedente che potrebbe essere stata esposta.
Gravità: medio
Verificare che la registrazione dell'accesso al bucket S3 sia abilitata nel bucket CloudTrail S3
Descrizione: S3 Bucket Access Logging genera un log contenente i record di accesso Assicurarsi che la registrazione dell'accesso ai bucket S3 sia abilitata nel bucket CloudTrail S3 per ogni richiesta effettuata nel bucket S3. Un record del log di accesso contiene informazioni dettagliate sulla richiesta, ad esempio il tipo di richiesta, le risorse specificate nella richiesta e l'ora e la data di elaborazione della richiesta. È consigliabile abilitare la registrazione dell'accesso ai bucket nel bucket CloudTrail S3. Abilitando la registrazione dei bucket S3 nei bucket S3 di destinazione, è possibile acquisire tutti gli eventi, che potrebbero influire sugli oggetti all'interno dei bucket di destinazione. La configurazione dei log da inserire in un bucket separato consente l'accesso alle informazioni di log, che possono essere utili nei flussi di lavoro di sicurezza e risposta agli eventi imprevisti.
Gravità: Bassa
Verificare che il bucket S3 usato per archiviare i log CloudTrail non sia accessibile pubblicamente
Descrizione: CloudTrail registra un record di ogni chiamata API effettuata nell'account AWS. Questi file di log vengono archiviati in un bucket S3. È consigliabile applicare i criteri del bucket o l'elenco di controllo di accesso (ACL) al bucket S3 registrato da CloudTrail per impedire l'accesso pubblico ai log CloudTrail. Consentire l'accesso pubblico al contenuto del log cloudTrail potrebbe aiutare un antagonista a identificare i punti deboli nell'uso o nella configurazione dell'account interessato.
Gravità: alta
IAM non deve avere certificati SSL/TLS scaduti
Descrizione: questo controllo identifica i certificati SSL/TLS scaduti. Per abilitare le connessioni HTTPS al sito Web o all'applicazione in AWS, è necessario un certificato server SSL/TLS. È possibile usare ACM o IAM per archiviare e distribuire i certificati server. La rimozione di certificati SSL/TLS scaduti elimina il rischio che un certificato non valido venga distribuito accidentalmente in una risorsa, ad esempio AWS Elastic Load Balancer (ELB), che può danneggiare la credibilità dell'applicazione o del sito Web dietro ELB. Questo controllo genera avvisi se sono presenti certificati SSL/TLS scaduti archiviati in AWS IAM. Come procedura consigliata, è consigliabile eliminare i certificati scaduti.
Gravità: alta
I certificati ACM importati devono essere rinnovati dopo un periodo di tempo specificato
Descrizione: questo controllo controlla se i certificati ACM nell'account sono contrassegnati per la scadenza entro 30 giorni. Controlla sia i certificati importati che i certificati forniti da AWS Certificate Manager. ACM può rinnovare automaticamente i certificati che usano la convalida DNS. Per i certificati che usano la convalida della posta elettronica, è necessario rispondere a un messaggio di posta elettronica di convalida del dominio. ACM non rinnova automaticamente anche i certificati importati. È necessario rinnovare manualmente i certificati importati. Per altre informazioni sul rinnovo gestito per i certificati ACM, vedere Rinnovo gestito per i certificati ACM nella Guida dell'utente di AWS Certificate Manager.
Gravità: medio
Le identità con provisioning eccessivo negli account devono essere analizzate per ridurre l'indice di scorrimento delle autorizzazioni (PCI)
Descrizione: le identità con provisioning eccessivo negli account devono essere analizzate per ridurre l'indice pci (Permission Creep Index) e per proteggere l'infrastruttura. Ridurre pci rimuovendo le assegnazioni di autorizzazioni ad alto rischio inutilizzate. Pci elevato riflette il rischio associato alle identità con autorizzazioni che superano l'utilizzo normale o richiesto.
Gravità: medio
È necessario abilitare gli aggiornamenti automatici delle versioni secondarie di Servizi Desktop remoto
Descrizione: questo controllo controlla se gli aggiornamenti automatici delle versioni secondarie sono abilitati per l'istanza del database Servizi Desktop remoto. L'abilitazione degli aggiornamenti automatici delle versioni secondarie garantisce che siano installati gli aggiornamenti della versione secondaria più recenti al sistema di gestione dei database relazionali (RDBMS). Questi aggiornamenti possono includere patch di sicurezza e correzioni di bug. Mantenere aggiornata l'installazione delle patch è un passaggio importante per la protezione dei sistemi.
Gravità: alta
Gli snapshot del cluster Servizi Desktop remoto e gli snapshot del database devono essere crittografati inattivi
Descrizione: questo controllo controlla se gli snapshot del database Servizi Desktop remoto sono crittografati. Questo controllo è destinato alle istanze del database Servizi Desktop remoto. Tuttavia, può anche generare risultati per gli snapshot delle istanze di Aurora DB, delle istanze di Neptune DB e dei cluster Amazon DocumentDB. Se questi risultati non sono utili, è possibile eliminarli. La crittografia dei dati inattivi riduce il rischio che un utente non autenticato ottenga l'accesso ai dati archiviati su disco. I dati negli snapshot di Servizi Desktop remoto devono essere crittografati inattivi per un ulteriore livello di sicurezza.
Gravità: medio
I cluster Servizi Desktop remoto devono avere la protezione dell'eliminazione abilitata
Descrizione: questo controllo controlla se i cluster Servizi Desktop remoto hanno la protezione dell'eliminazione abilitata. Questo controllo è destinato alle istanze del database Servizi Desktop remoto. Tuttavia, può anche generare risultati per le istanze di Aurora DB, le istanze di Neptune DB e i cluster Amazon DocumentDB. Se questi risultati non sono utili, è possibile eliminarli. L'abilitazione della protezione dall'eliminazione del cluster è un altro livello di protezione dall'eliminazione accidentale o dall'eliminazione accidentale da parte di un'entità non autorizzata. Quando la protezione dell'eliminazione è abilitata, non è possibile eliminare un cluster Servizi Desktop remoto. Prima che una richiesta di eliminazione possa avere esito positivo, la protezione dell'eliminazione deve essere disabilitata.
Gravità: Bassa
I cluster di database Servizi Desktop remoto devono essere configurati per più zone di disponibilità
Descrizione: i cluster di database Servizi Desktop remoto devono essere configurati per più dati archiviati. La distribuzione in più zone di disponibilità consente di automatizzare zone di disponibilità per garantire la disponibilità del failover ed in caso di problemi di disponibilità della zona di disponibilità e durante gli eventi di manutenzione di Servizi Desktop remoto regolari.
Gravità: medio
I cluster di database Servizi Desktop remoto devono essere configurati per copiare tag in snapshot
Descrizione: l'identificazione e l'inventario degli asset IT è un aspetto fondamentale della governance e della sicurezza. È necessario avere visibilità su tutti i cluster di database Servizi Desktop remoto in modo da poter valutare il comportamento di sicurezza e agire su potenziali aree di debolezza. Gli snapshot devono essere contrassegnati nello stesso modo dei cluster di database Servizi Desktop remoto padre. L'abilitazione di questa impostazione garantisce che gli snapshot ereditino i tag dei cluster di database padre.
Gravità: Bassa
Le istanze del database Servizi Desktop remoto devono essere configurate per copiare tag in snapshot
Descrizione: questo controllo controlla se le istanze del database Servizi Desktop remoto sono configurate per copiare tutti i tag negli snapshot quando vengono creati gli snapshot. L'identificazione e l'inventario degli asset IT è un aspetto fondamentale della governance e della sicurezza. È necessario avere visibilità su tutte le istanze del database Servizi Desktop remoto in modo da poter valutare il comportamento di sicurezza e intervenire su potenziali aree di debolezza. Gli snapshot devono essere contrassegnati nello stesso modo delle istanze del database Servizi Desktop remoto padre. L'abilitazione di questa impostazione garantisce che gli snapshot ereditino i tag delle istanze del database padre.
Gravità: Bassa
Le istanze del database Servizi Desktop remoto devono essere configurate con più zone di disponibilità
Descrizione: questo controllo controlla se la disponibilità elevata è abilitata per le istanze del database Servizi Desktop remoto. Le istanze del database Servizi Desktop remoto devono essere configurate per più zone di disponibilità (AZ). In questo modo si garantisce la disponibilità dei dati archiviati. Le distribuzioni multi-AZ consentono il failover automatico se si verifica un problema con la disponibilità della zona di disponibilità e durante la normale manutenzione di Servizi Desktop remoto.
Gravità: medio
Le istanze del database Servizi Desktop remoto devono avere la protezione dell'eliminazione abilitata
Descrizione: questo controllo controlla se le istanze del database Servizi Desktop remoto che usano uno dei motori di database elencati hanno la protezione dell'eliminazione abilitata. L'abilitazione della protezione dell'eliminazione dell'istanza è un altro livello di protezione da eliminazioni accidentali o eliminazione da parte di un'entità non autorizzata. Mentre la protezione dell'eliminazione è abilitata, non è possibile eliminare un'istanza del database Servizi Desktop remoto. Prima che una richiesta di eliminazione possa avere esito positivo, la protezione dell'eliminazione deve essere disabilitata.
Gravità: Bassa
Le istanze del database Servizi Desktop remoto devono avere la crittografia dei dati inattivi abilitata
Descrizione: questo controllo controlla se la crittografia di archiviazione è abilitata per le istanze del database Di Amazon RDS. Questo controllo è destinato alle istanze del database Servizi Desktop remoto. Tuttavia, può anche generare risultati per le istanze di Aurora DB, le istanze di Neptune DB e i cluster Amazon DocumentDB. Se questi risultati non sono utili, è possibile eliminarli. Per un ulteriore livello di sicurezza per i dati sensibili nelle istanze del database Servizi Desktop remoto, è necessario configurare le istanze del database Servizi Desktop remoto per la crittografia dei dati inattivi. Per crittografare le istanze del database Servizi Desktop remoto e gli snapshot inattivi, abilitare l'opzione di crittografia per le istanze del database Servizi Desktop remoto. I dati crittografati inattivi includono l'archiviazione sottostante per le istanze del database, i relativi backup automatici, le repliche in lettura e gli snapshot. Le istanze di database crittografate di Servizi Desktop remoto usano l'algoritmo di crittografia AES-256 standard aperto per crittografare i dati nel server che ospita le istanze del database Servizi Desktop remoto. Dopo aver crittografato i dati, Amazon RDS gestisce l'autenticazione dell'accesso e della decrittografia dei dati in modo trasparente con un impatto minimo sulle prestazioni. Non è necessario modificare le applicazioni client di database per usare la crittografia. La crittografia Amazon RDS è attualmente disponibile per tutti i motori di database e i tipi di archiviazione. La crittografia Amazon RDS è disponibile per la maggior parte delle classi di istanze del database. Per informazioni sulle classi di istanze del database che non supportano la crittografia Amazon RDS, vedere Crittografia delle risorse di Amazon RDS nella Guida dell'utente di Amazon RDS.
Gravità: medio
Le istanze del database Servizi Desktop remoto devono impedire l'accesso pubblico
Descrizione: è consigliabile assicurarsi anche che l'accesso alla configurazione dell'istanza di Servizi Desktop remoto sia limitato solo agli utenti autorizzati, limitando le autorizzazioni IAM degli utenti per modificare le impostazioni e le risorse delle istanze di Servizi Desktop remoto.
Gravità: alta
Gli snapshot di Servizi Desktop remoto devono impedire l'accesso pubblico
Descrizione: è consigliabile consentire solo alle entità autorizzate di accedere allo snapshot e modificare la configurazione di Amazon RDS.
Gravità: alta
Rimuovere i segreti di Gestione segreti inutilizzati
Descrizione: questo controllo controlla se i segreti sono stati accessibili entro un numero specificato di giorni. Il valore predefinito è 90 giorni. Se non è stato eseguito l'accesso a un segreto entro il numero di giorni definito, questo controllo ha esito negativo. L'eliminazione di segreti inutilizzati è importante quanto la rotazione dei segreti. I segreti inutilizzati possono essere abusati dai loro utenti precedenti, che non hanno più bisogno di accedere a questi segreti. Inoltre, man mano che più utenti ottengono l'accesso a un segreto, qualcuno potrebbe aver mal gestito e trapelato a un'entità non autorizzata, che aumenta il rischio di abusi. L'eliminazione di segreti inutilizzati consente di revocare l'accesso segreto agli utenti che non ne hanno più bisogno. Consente anche di ridurre il costo dell'uso di Secrets Manager. Pertanto, è essenziale eliminare regolarmente i segreti inutilizzati.
Gravità: medio
Per i bucket S3 deve essere abilitata la replica tra aree
Descrizione: l'abilitazione della replica tra aree S3 garantisce che più versioni dei dati siano disponibili in aree diverse. In questo modo è possibile proteggere il bucket S3 dagli attacchi DDoS e dagli eventi di danneggiamento dei dati.
Gravità: Bassa
I bucket S3 devono avere la crittografia lato server abilitata
Descrizione: abilitare la crittografia lato server per proteggere i dati nei bucket S3. La crittografia dei dati può impedire l'accesso ai dati sensibili in caso di violazione dei dati.
Gravità: medio
I segreti di Secrets Manager configurati con rotazione automatica devono ruotare correttamente
Descrizione: questo controllo controlla se un segreto di AWS Secrets Manager è stato ruotato correttamente in base alla pianificazione della rotazione. Il controllo ha esito negativo se RotationOccurringAsScheduled è false. Il controllo non valuta i segreti che non hanno la rotazione configurata. Secrets Manager consente di migliorare il comportamento di sicurezza dell'organizzazione. I segreti includono credenziali del database, password e chiavi API di terze parti. È possibile usare Secrets Manager per archiviare i segreti in modo centralizzato, crittografare automaticamente i segreti, controllare l'accesso ai segreti e ruotare i segreti in modo sicuro e automatico. Secrets Manager può ruotare i segreti. È possibile usare la rotazione per sostituire i segreti a lungo termine con quelli a breve termine. La rotazione dei segreti limita per quanto tempo un utente non autorizzato può usare un segreto compromesso. Per questo motivo, è consigliabile ruotare frequentemente i segreti. Oltre a configurare i segreti per la rotazione automatica, è necessario assicurarsi che tali segreti vengano ruotati correttamente in base alla pianificazione della rotazione. Per altre informazioni sulla rotazione, vedere Rotazione dei segreti di AWS Secrets Manager nella Guida dell'utente di AWS Secrets Manager.
Gravità: medio
I segreti di Secrets Manager devono essere ruotati entro un numero specificato di giorni
Descrizione: questo controllo controlla se i segreti sono stati ruotati almeno una volta entro 90 giorni. La rotazione dei segreti consente di ridurre il rischio di uso non autorizzato dei segreti nell'account AWS. Ad esempio, le credenziali del database, le password, le chiavi API di terze parti e persino il testo arbitrario. Se non si modificano i segreti per un lungo periodo di tempo, è più probabile che i segreti vengano compromessi. Man mano che più utenti ottengono l'accesso a un segreto, può diventare più probabile che qualcuno abbia gestito in modo non autorizzato e lo abbia trapelato in un'entità non autorizzata. I segreti possono essere persi tramite log e dati della cache. Possono essere condivisi per scopi di debug e non modificati o revocati al termine del debug. Per tutti questi motivi, i segreti devono essere ruotati frequentemente. È possibile configurare i segreti per la rotazione automatica in AWS Secrets Manager. Con la rotazione automatica, è possibile sostituire i segreti a lungo termine con quelli a breve termine, riducendo significativamente il rischio di compromissione. L'hub di sicurezza consiglia di abilitare la rotazione per i segreti di Secrets Manager. Per altre informazioni sulla rotazione, vedere Rotazione dei segreti di AWS Secrets Manager nella Guida dell'utente di AWS Secrets Manager.
Gravità: medio
Gli argomenti SNS devono essere crittografati inattivi usando AWS Servizio di gestione delle chiavi
Descrizione: questo controllo controlla se un argomento SNS è crittografato inattivo tramite AWS Servizio di gestione delle chiavi. La crittografia dei dati inattivi riduce il rischio di accesso ai dati archiviati su disco da un utente non autenticato in AWS. Aggiunge anche un altro set di controlli di accesso per limitare la capacità di utenti non autorizzati di accedere ai dati. Ad esempio, le autorizzazioni API sono necessarie per decrittografare i dati prima di poterli leggere. Gli argomenti SNS devono essere crittografati inattivi per un ulteriore livello di sicurezza. Per altre informazioni, vedere Crittografia dei dati inattivi nella Guida per sviluppatori di Amazon Simple Notification Service.
Gravità: medio
La registrazione dei flussi VPC deve essere abilitata in tutte le VPC
Descrizione: i log dei flussi VPC offrono visibilità sul traffico di rete che passa attraverso il VPC e possono essere usati per rilevare traffico anomalo o informazioni dettagliate durante gli eventi di sicurezza.
Gravità: medio
Raccomandazioni su AWS IdentityAndAccess
I domini di Amazon Elasticsearch Service devono trovarsi in un VPC
Descrizione: VPC non può contenere domini con un endpoint pubblico. Nota: non valuta la configurazione del routing della subnet VPC per determinare la raggiungibilità pubblica.
Gravità: alta
Le autorizzazioni amazon S3 concesse ad altri account AWS nei criteri bucket devono essere limitate
Descrizione: l'implementazione dell'accesso con privilegi minimi è fondamentale per ridurre il rischio di sicurezza e l'impatto di errori o finalità dannose. Se un criterio bucket S3 consente l'accesso da account esterni, potrebbe comportare l'esfiltrazione di dati da una minaccia Insider o da un utente malintenzionato. Il parametro 'blacklistedactionpatterns' consente di valutare correttamente la regola per i bucket S3. Il parametro concede l'accesso agli account esterni per i modelli di azione che non sono inclusi nell'elenco "blacklistedactionpatterns".
Gravità: alta
Evitare l'uso dell'account "root"
Descrizione: l'account "radice" ha accesso illimitato a tutte le risorse nell'account AWS. È consigliabile evitare l'uso di questo account. L'account "root" è l'account AWS con privilegi più elevati. Ridurre al minimo l'uso di questo account e adottare il principio dei privilegi minimi per la gestione degli accessi ridurrà il rischio di modifiche accidentali e divulgazione accidentale di credenziali con privilegi elevati.
Gravità: alta
Le chiavi Servizio di gestione delle chiavi AWS non devono essere accidentalmente eliminate
Descrizione: questo controllo controlla se Servizio di gestione delle chiavi chiavi sono pianificate per l'eliminazione. Il controllo ha esito negativo se è pianificata l'eliminazione di una chiave Servizio di gestione delle chiavi. Servizio di gestione delle chiavi chiavi non possono essere ripristinate dopo l'eliminazione. I dati crittografati in una chiave Servizio di gestione delle chiavi sono irreversibili anche se la chiave Servizio di gestione delle chiavi viene eliminata. Se i dati significativi sono stati crittografati con una chiave Servizio di gestione delle chiavi pianificata per l'eliminazione, è consigliabile decrittografare i dati o crittografarli nuovamente in una nuova chiave Servizio di gestione delle chiavi, a meno che non si stia intenzionalmente eseguendo una cancellazione crittografica. Quando una chiave Servizio di gestione delle chiavi è pianificata per l'eliminazione, viene applicato un periodo di attesa obbligatorio per consentire il tempo di invertire l'eliminazione, se è stato pianificato in errore. Il periodo di attesa predefinito è di 30 giorni, ma può essere ridotto a un massimo di sette giorni quando la chiave Servizio di gestione delle chiavi è pianificata per l'eliminazione. Durante il periodo di attesa, l'eliminazione pianificata può essere annullata e la chiave di Servizio di gestione delle chiavi non verrà eliminata. Per altre informazioni sull'eliminazione di chiavi Servizio di gestione delle chiavi, vedere Eliminazione di chiavi Servizio di gestione delle chiavi nella Guida per sviluppatori di AWS Servizio di gestione delle chiavi.
Gravità: alta
È consigliabile abilitare la registrazione ACL globale globale di AWS WAF Classic
Descrizione: questo controllo controlla se la registrazione è abilitata per un elenco di controllo di accesso Web globale di AWS WAF. Questo controllo ha esito negativo se la registrazione non è abilitata per l'ACL Web. La registrazione è una parte importante della gestione globale dell'affidabilità, della disponibilità e delle prestazioni di AWS WAF. Si tratta di un requisito aziendale e di conformità in molte organizzazioni e consente di risolvere i problemi relativi al comportamento dell'applicazione. Fornisce anche informazioni dettagliate sul traffico analizzato dall'ACL Web collegato a AWS WAF.
Gravità: medio
Le distribuzioni CloudFront devono avere un oggetto radice predefinito configurato
Descrizione: questo controllo controlla se una distribuzione Amazon CloudFront è configurata per restituire un oggetto specifico che è l'oggetto radice predefinito. Il controllo ha esito negativo se la distribuzione CloudFront non dispone di un oggetto radice predefinito configurato. Un utente potrebbe talvolta richiedere l'URL radice delle distribuzioni anziché un oggetto nella distribuzione. In questo caso, la specifica di un oggetto radice predefinito consente di evitare di esporre il contenuto della distribuzione Web.
Gravità: alta
Le distribuzioni CloudFront devono avere l'identità di accesso all'origine abilitata
Descrizione: questo controllo controlla se una distribuzione Amazon CloudFront con il tipo di origine Amazon S3 Origin ha configurato l'identità OAI (Origin Access Identity). Il controllo ha esito negativo se OAI non è configurato. CloudFront OAI impedisce agli utenti di accedere direttamente al contenuto del bucket S3. Quando gli utenti accedono direttamente a un bucket S3, ignorano in modo efficace la distribuzione CloudFront e tutte le autorizzazioni applicate al contenuto del bucket S3 sottostante.
Gravità: medio
La convalida del file di log CloudTrail deve essere abilitata
Descrizione: per garantire un controllo di integrità aggiuntivo dei log CloudTrail, è consigliabile abilitare la convalida dei file in tutti i cloudTrail.
Gravità: Bassa
CloudTrail deve essere abilitato
Descrizione: AWS CloudTrail è un servizio Web che registra le chiamate API AWS per l'account e distribuisce i file di log all'utente. Non tutti i servizi abilitano la registrazione per impostazione predefinita per tutte le API e gli eventi. È consigliabile implementare eventuali audit trail aggiuntivi diversi da CloudTrail ed esaminare la documentazione per ogni servizio in Servizi e integrazioni supportati da CloudTrail.
Gravità: alta
I percorsi CloudTrail devono essere integrati con i log di CloudWatch
Descrizione: oltre all'acquisizione dei log CloudTrail all'interno di un bucket S3 specificato per l'analisi a lungo termine, è possibile eseguire l'analisi in tempo reale configurando CloudTrail per inviare i log ai log di CloudWatch. Per un percorso abilitato in tutte le aree di un account, CloudTrail invia i file di log da tutte le aree a un gruppo di log di Log di CloudWatch. È consigliabile inviare i log di CloudTrail ai log di CloudWatch per assicurarsi che l'attività dell'account AWS venga acquisita, monitorata e allarmata in modo appropriato. L'invio di log CloudTrail ai log di CloudWatch facilita la registrazione delle attività in tempo reale e cronologica in base all'utente, all'API, alla risorsa e all'indirizzo IP e offre l'opportunità di stabilire avvisi e notifiche per attività anomale o di riservatezza dell'account.
Gravità: Bassa
La registrazione del database deve essere abilitata
Descrizione: questo controllo controlla se i log seguenti di Amazon RDS sono abilitati e inviati ai log di CloudWatch:
- Oracle: (Alert, Audit, Trace, Listener)
- PostgreSQL: (Postgresql, Aggiornamento)
- MySQL: (Audit, Error, General, SlowQuery)
- MariaDB: (Audit, Error, General, SlowQuery)
- SQL Server: (Errore, Agent)
- Aurora: (Audit, Error, General, SlowQuery)
- Aurora-MySQL: (Audit, Error, General, SlowQuery)
- Aurora-PostgreSQL: (Postgresql, Aggiornamento). Per i database Servizi Desktop remoto devono essere abilitati i log pertinenti. La registrazione del database fornisce record dettagliati delle richieste effettuate a Servizi Desktop remoto. I log del database possono essere utili per controllare la sicurezza e l'accesso e possono aiutare a diagnosticare i problemi di disponibilità.
Gravità: medio
Disabilitare l'accesso diretto a Internet per le istanze del notebook amazon SageMaker
Descrizione: l'accesso Diretto a Internet deve essere disabilitato per un'istanza del notebook SageMaker. In questo modo viene verificato se il campo 'DirectInternetAccess' è disabilitato per l'istanza del notebook. L'istanza deve essere configurata con un VPC e l'impostazione predefinita deve essere Disable - Access the Internet through a VPC (Disabilita - Accedere a Internet tramite un VPC). Per consentire l'accesso a Internet per eseguire il training o l'hosting di modelli da un notebook, assicurarsi che il VPC disponga di un gateway NAT e che il gruppo di sicurezza consenta le connessioni in uscita. Assicurarsi che l'accesso alla configurazione di SageMaker sia limitato solo agli utenti autorizzati e limitare le autorizzazioni IAM degli utenti per modificare le impostazioni e le risorse di SageMaker.
Gravità: alta
Non configurare le chiavi di accesso durante la configurazione iniziale dell'utente per tutti gli utenti IAM con una password della console
Descrizione: la console DI AWS usa la casella di controllo per la creazione di chiavi di accesso da abilitare. Ciò comporta la generazione inutilmente di molte chiavi di accesso. Oltre alle credenziali non necessarie, genera anche operazioni di gestione non necessarie nel controllo e nella rotazione di queste chiavi. La richiesta di eseguire ulteriori passaggi da parte dell'utente dopo la creazione del profilo darà un'indicazione più forte dell'intento che le chiavi di accesso sono [a] necessarie per il proprio lavoro e [b] dopo che la chiave di accesso viene stabilita in un account che le chiavi potrebbero essere in uso in un punto qualsiasi dell'organizzazione.
Gravità: medio
Assicurarsi che sia stato creato un ruolo di supporto per gestire gli eventi imprevisti con il supporto AWS
Descrizione: AWS fornisce un centro di supporto che può essere usato per la notifica e la risposta agli eventi imprevisti, nonché il supporto tecnico e i servizi dei clienti. Creare un ruolo IAM per consentire agli utenti autorizzati di gestire gli eventi imprevisti con il supporto AWS. Implementando privilegi minimi per il controllo di accesso, un ruolo IAM richiede un criterio IAM appropriato per consentire l'accesso al Supporto tecnico per gestire gli eventi imprevisti con il supporto AWS.
Gravità: Bassa
Assicurarsi che le chiavi di accesso vengano ruotate ogni 90 giorni o meno
Descrizione: le chiavi di accesso sono costituite da un ID chiave di accesso e una chiave di accesso privata, che vengono usati per firmare richieste a livello di codice inviate a AWS. Gli utenti DI AWS devono avere le proprie chiavi di accesso per effettuare chiamate a livello di codice ad AWS dall'interfaccia della riga di comando di AWS, strumenti per Windows PowerShell, SDK AWS o chiamate HTTP dirette usando le API per singoli servizi AWS. È consigliabile ruotare regolarmente tutti i tasti di scelta. La rotazione delle chiavi di accesso riduce la finestra di opportunità per l'uso di una chiave di accesso associata a un account compromesso o terminato. I tasti di scelta devono essere ruotati per garantire che non sia possibile accedere ai dati con una chiave precedente, che potrebbe essere stata persa, interrotta o rubata.
Gravità: medio
Verificare che AWS Config sia abilitato in tutte le aree
Descrizione: AWS Config è un servizio Web che esegue la gestione della configurazione delle risorse AWS supportate all'interno dell'account e distribuisce i file di log all'utente. Le informazioni registrate includono l'elemento di configurazione (risorsa AWS), le relazioni tra gli elementi di configurazione (risorse AWS), eventuali modifiche alla configurazione tra le risorse. È consigliabile abilitare AWS Config in tutte le aree.
La cronologia degli elementi di configurazione di AWS acquisita da AWS Config consente l'analisi della sicurezza, il rilevamento delle modifiche delle risorse e il controllo della conformità.
Gravità: medio
Verificare che CloudTrail sia abilitato in tutte le aree
Descrizione: AWS CloudTrail è un servizio Web che registra le chiamate API AWS per l'account e distribuisce i file di log all'utente. Le informazioni registrate includono l'identità del chiamante API, l'ora della chiamata API, l'indirizzo IP di origine del chiamante API, i parametri della richiesta e gli elementi di risposta restituiti dal servizio AWS. CloudTrail fornisce una cronologia delle chiamate API AWS per un account, incluse le chiamate API effettuate tramite La Console di gestione, gli SDK, gli strumenti da riga di comando e i servizi AWS di livello superiore, ad esempio CloudFormation. La cronologia delle chiamate dell'API AWS prodotta da CloudTrail consente l'analisi della sicurezza, il rilevamento delle modifiche delle risorse e il controllo della conformità. Inoltre:
- garantire l'esistenza di un percorso in più aree garantisce che venga rilevata un'attività imprevista in aree altrimenti inutilizzate
- garantire che esista un trail di più aree garantirà che la registrazione del servizio globale sia abilitata per un trail per impostazione predefinita per acquisire la registrazione degli eventi generati nei servizi globali AWS
- per un trail in più aree, assicurandosi che gli eventi di gestione configurati per tutti i tipi di lettura/scrittura garantiscano la registrazione delle operazioni di gestione eseguite su tutte le risorse in un account AWS
Gravità: alta
Verificare che le credenziali inutilizzate per 90 giorni o versione successiva siano disabilitate
Descrizione: gli utenti di AWS IAM possono accedere alle risorse AWS usando diversi tipi di credenziali, ad esempio password o chiavi di accesso. È consigliabile rimuovere o disattivare tutte le credenziali inutilizzate in 90 o più giorni. La disabilitazione o la rimozione di credenziali non necessarie riducono la finestra di opportunità per l'uso delle credenziali associate a un account compromesso o abbandonato.
Gravità: medio
Verificare che i criteri password IAM scadano entro 90 giorni o meno
Descrizione: i criteri password IAM possono richiedere la rotazione o la scadenza delle password dopo un determinato numero di giorni. È consigliabile che i criteri password scadano dopo 90 giorni o meno. La riduzione della durata delle password aumenta la resilienza dell'account rispetto ai tentativi di accesso di forza bruta. Inoltre, la richiesta di modifiche regolari delle password è utile negli scenari seguenti:
- Le password possono essere rubate o compromesse a volte senza la tua conoscenza. Ciò può verificarsi tramite una compromissione del sistema, una vulnerabilità del software o una minaccia interna.
- Alcuni filtri Web aziendali e governativi o server proxy hanno la possibilità di intercettare e registrare il traffico anche se è crittografato.
- Molte persone usano la stessa password per molti sistemi, ad esempio lavoro, posta elettronica e personale.
- Le workstation degli utenti finali compromesse potrebbero avere un logger di sequenza di tasti.
Gravità: Bassa
Verificare che i criteri password IAM impediscano il riutilizzo delle password
Descrizione: i criteri password IAM possono impedire il riutilizzo di una determinata password da parte dello stesso utente. È consigliabile che i criteri password impediscano il riutilizzo delle password. Impedire il riutilizzo delle password aumenta la resilienza dell'account contro i tentativi di accesso di forza bruta.
Gravità: Bassa
Verificare che i criteri password IAM richiedano almeno una lettera minuscola
Descrizione: i criteri password sono, in parte, usati per applicare i requisiti di complessità delle password. I criteri password IAM possono essere usati per garantire che la password sia costituita da set di caratteri diversi. È consigliabile che i criteri password richiedano almeno una lettera minuscola. L'impostazione di criteri di complessità delle password aumenta la resilienza dell'account rispetto ai tentativi di accesso di forza bruta.
Gravità: medio
Verificare che i criteri password IAM richiedano almeno un numero
Descrizione: i criteri password sono, in parte, usati per applicare i requisiti di complessità delle password. I criteri password IAM possono essere usati per garantire che la password sia costituita da set di caratteri diversi. È consigliabile che i criteri password richiedano almeno un numero. L'impostazione di criteri di complessità delle password aumenta la resilienza dell'account rispetto ai tentativi di accesso di forza bruta.
Gravità: medio
Verificare che i criteri password IAM richiedano almeno un simbolo
Descrizione: i criteri password sono, in parte, usati per applicare i requisiti di complessità delle password. I criteri password IAM possono essere usati per garantire che la password sia costituita da set di caratteri diversi. È consigliabile che i criteri password richiedano almeno un simbolo. L'impostazione di criteri di complessità delle password aumenta la resilienza dell'account rispetto ai tentativi di accesso di forza bruta.
Gravità: medio
Verificare che i criteri password IAM richiedano almeno una lettera maiuscola
Descrizione: i criteri password sono, in parte, usati per applicare i requisiti di complessità delle password. I criteri password IAM possono essere usati per garantire che la password sia costituita da set di caratteri diversi. È consigliabile che i criteri password richiedano almeno una lettera maiuscola. L'impostazione di criteri di complessità delle password aumenta la resilienza dell'account rispetto ai tentativi di accesso di forza bruta.
Gravità: medio
Verificare che i criteri password IAM richiedano una lunghezza minima di 14 o superiore
Descrizione: i criteri password sono, in parte, usati per applicare i requisiti di complessità delle password. I criteri password IAM possono essere usati per garantire che la password abbia almeno una lunghezza specifica. È consigliabile che i criteri password richiedano una lunghezza minima della password '14'. L'impostazione di criteri di complessità delle password aumenta la resilienza dell'account rispetto ai tentativi di accesso di forza bruta.
Gravità: medio
Verificare che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti IAM con una password della console
Descrizione: L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione su un nome utente e una password. Con l'autenticazione a più fattori abilitata, quando un utente accede a un sito Web AWS, verrà richiesto il nome utente e la password, nonché un codice di autenticazione dal dispositivo AWS MFA. È consigliabile abilitare l'autenticazione a più fattori per tutti gli account con una password della console. L'abilitazione dell'autenticazione a più fattori garantisce una maggiore sicurezza per l'accesso alla console perché richiede che l'entità di autenticazione disponga di un dispositivo che genera una chiave sensibile al tempo e che abbia una conoscenza di una credenziale.
Gravità: medio
GuardDuty deve essere abilitato
Descrizione: per fornire protezione aggiuntiva dalle intrusioni, GuardDuty deve essere abilitato nell'account AWS e nell'area. Nota: GuardDuty potrebbe non essere una soluzione completa per ogni ambiente.
Gravità: medio
L'autenticazione a più fattori hardware deve essere abilitata per l'account "radice"
Descrizione: l'account radice è l'utente con privilegi più elevati in un account. L'autenticazione a più fattori aggiunge un ulteriore livello di protezione su un nome utente e una password. Con l'autenticazione a più fattori abilitata, quando un utente accede a un sito Web AWS, viene richiesto il nome utente e la password e un codice di autenticazione dal dispositivo AWS MFA. Per il livello 2, è consigliabile proteggere l'account radice con un'autenticazione a più fattori hardware. Un'autenticazione a più fattori hardware ha una superficie di attacco inferiore rispetto a un'autenticazione a più fattori virtuale. Ad esempio, un'autenticazione a più fattori hardware non subisce la superficie di attacco introdotta dallo smartphone mobile su cui risiede una MFA virtuale. L'uso dell'autenticazione a più fattori hardware per molti account potrebbe creare un problema di gestione dei dispositivi logistici. In questo caso, è consigliabile implementare questa raccomandazione di livello 2 in modo selettivo per gli account di sicurezza più elevati. È quindi possibile applicare la raccomandazione di livello 1 agli account rimanenti.
Gravità: Bassa
L'autenticazione IAM deve essere configurata per i cluster Servizi Desktop remoto
Descrizione: questo controllo controlla se un cluster di database Desktop remoto dispone dell'autenticazione del database IAM abilitata. L'autenticazione del database IAM consente l'autenticazione senza password alle istanze del database. L'autenticazione usa un token di autenticazione. Il traffico di rete da e verso il database viene crittografato tramite SSL. Per altre informazioni, vedere Autenticazione del database IAM nella Guida dell'utente di Amazon Aurora.
Gravità: medio
L'autenticazione IAM deve essere configurata per le istanze di Servizi Desktop remoto
Descrizione: questo controllo controlla se per un'istanza del database Servizi Desktop remoto è abilitata l'autenticazione del database IAM. L'autenticazione del database IAM consente l'autenticazione alle istanze del database con un token di autenticazione anziché una password. Il traffico di rete da e verso il database viene crittografato tramite SSL. Per altre informazioni, vedere Autenticazione del database IAM nella Guida dell'utente di Amazon Aurora.
Gravità: medio
I criteri gestiti dai clienti IAM non devono consentire azioni di decrittografia in tutte le chiavi di Servizio di gestione delle chiavi
Descrizione: controlla se la versione predefinita dei criteri gestiti dai clienti IAM consente alle entità di usare aws Servizio di gestione delle chiavi azioni di decrittografia su tutte le risorse. Questo controllo usa Zelkova, un motore di ragionamento automatizzato, per convalidare e avvisare l'utente sui criteri che potrebbero concedere l'accesso ampio ai segreti tra gli account AWS. Questo controllo ha esito negativo se le azioni "kms:Decrypt" o "kms:ReEncryptFrom" sono consentite in tutte le chiavi Servizio di gestione delle chiavi. Il controllo valuta sia i criteri gestiti dai clienti collegati che non collegati. Non controlla i criteri inline o i criteri gestiti da AWS. Con AWS Servizio di gestione delle chiavi, è possibile controllare chi può usare le chiavi Servizio di gestione delle chiavi e ottenere l'accesso ai dati crittografati. I criteri IAM definiscono le azioni che possono essere eseguite da un'identità (utente, gruppo o ruolo) su quali risorse. Seguendo le procedure consigliate per la sicurezza, AWS consiglia di consentire privilegi minimi. In altre parole, è necessario concedere alle identità solo le autorizzazioni "kms:Decrypt" o "kms:ReEncryptFrom" e solo per le chiavi necessarie per eseguire un'attività. In caso contrario, l'utente potrebbe usare chiavi non appropriate per i dati. Invece di concedere autorizzazioni per tutte le chiavi, determinare il set minimo di chiavi che gli utenti devono accedere ai dati crittografati. Progettare quindi criteri che consentono agli utenti di usare solo tali chiavi. Ad esempio, non consentire l'autorizzazione "kms:Decrypt" per tutte le chiavi Servizio di gestione delle chiavi. Consentire invece "kms:Decrypt" solo per le chiavi in un'area specifica per l'account. Adottando il principio dei privilegi minimi, è possibile ridurre il rischio di divulgazione involontaria dei dati.
Gravità: medio
I criteri gestiti dai clienti IAM creati non devono consentire azioni con caratteri jolly per i servizi
Descrizione: questo controllo controlla se i criteri basati sull'identità IAM creati dispongono di istruzioni Allow che usano il carattere jolly * per concedere le autorizzazioni per tutte le azioni in qualsiasi servizio. Il controllo ha esito negativo se un'istruzione dei criteri include 'Effect': 'Allow' with 'Action': 'Service:*'. Ad esempio, l'istruzione seguente in un criterio genera una ricerca non riuscita.
'Statement': [
{
'Sid': 'EC2-Wildcard',
'Effect': 'Allow',
'Action': 'ec2:*',
'Resource': '*'
}
Il controllo ha esito negativo anche se si usa 'Effect': 'Allow' con 'NotAction': 'service:'. In tal caso, l'elemento NotAction fornisce l'accesso a tutte le azioni in un servizio AWS, ad eccezione delle azioni specificate in NotAction. Questo controllo si applica solo ai criteri IAM gestiti dal cliente. Non si applica ai criteri IAM gestiti da AWS. Quando si assegnano autorizzazioni ai servizi AWS, è importante definire l'ambito delle azioni IAM consentite nei criteri IAM. È consigliabile limitare le azioni IAM solo a quelle azioni necessarie. In questo modo è possibile effettuare il provisioning delle autorizzazioni con privilegi minimi. I criteri eccessivamente permissivi possono causare l'escalation dei privilegi se i criteri sono associati a un'entità IAM che potrebbe non richiedere l'autorizzazione. In alcuni casi, è possibile consentire azioni IAM con un prefisso simile, ad esempio DescribeFlowLogs e DescribeAvailabilityZones. In questi casi autorizzati è possibile aggiungere un carattere jolly suffisso al prefisso comune. Ad esempio, ec2:Describe.
Questo controllo passa se si usa un'azione IAM con prefisso con un carattere jolly suffisso. Ad esempio, l'istruzione seguente in un criterio genera una ricerca passata.
'Statement': [
{
'Sid': 'EC2-Wildcard',
'Effect': 'Allow',
'Action': 'ec2:Describe*',
'Resource': '*'
}
Quando si raggruppano le azioni IAM correlate in questo modo, è anche possibile evitare di superare i limiti delle dimensioni dei criteri IAM.
Gravità: Bassa
I criteri IAM devono essere associati solo a gruppi o ruoli
Descrizione: per impostazione predefinita, gli utenti, i gruppi e i ruoli IAM non hanno accesso alle risorse AWS. I criteri IAM sono i mezzi con cui vengono concessi privilegi a utenti, gruppi o ruoli. È consigliabile applicare i criteri IAM direttamente a gruppi e ruoli, ma non agli utenti. L'assegnazione di privilegi a livello di gruppo o di ruolo riduce la complessità della gestione degli accessi man mano che il numero di utenti aumenta. La riduzione della complessità della gestione degli accessi potrebbe ridurre a sua volta l'opportunità per un'entità di ricevere o conservare inavvertitamente privilegi eccessivi.
Gravità: Bassa
I criteri IAM che consentono privilegi amministrativi completi ":" non devono essere creati
Descrizione: i criteri IAM sono i mezzi con cui vengono concessi privilegi a utenti, gruppi o ruoli. È consigliabile e considerato un consiglio di sicurezza standard per concedere privilegi minimi, ovvero concedere solo le autorizzazioni necessarie per eseguire un'attività. Determinare cosa devono fare gli utenti e quindi creare criteri per loro che consentono agli utenti di eseguire solo tali attività, invece di consentire privilegi amministrativi completi. È più sicuro iniziare con un set minimo di autorizzazioni e concedere autorizzazioni aggiuntive in base alle esigenze, anziché iniziare con le autorizzazioni troppo lenienti e quindi tentare di restringerle in un secondo momento. Fornire privilegi amministrativi completi invece di limitare al set minimo di autorizzazioni che l'utente deve eseguire espone le risorse a azioni potenzialmente indesiderate. Criteri IAM con un'istruzione con "Effect": "Allow" con "Action": "" su "Resource": "" deve essere rimosso.
Gravità: alta
Le entità IAM non devono avere criteri inline IAM che consentono azioni di decrittografia in tutte le chiavi Servizio di gestione delle chiavi
Descrizione: controlla se i criteri inline incorporati nelle identità IAM (ruolo, utente o gruppo) consentono le azioni di decrittografia di AWS Servizio di gestione delle chiavi su tutte le chiavi di Servizio di gestione delle chiavi. Questo controllo usa Zelkova, un motore di ragionamento automatizzato, per convalidare e avvisare l'utente sui criteri che potrebbero concedere l'accesso ampio ai segreti tra gli account AWS. Questo controllo ha esito negativo se le azioni "kms:Decrypt" o "kms:ReEncryptFrom" sono consentite in tutti i Servizio di gestione delle chiavi chiavi in un criterio inline. Con AWS Servizio di gestione delle chiavi, è possibile controllare chi può usare le chiavi Servizio di gestione delle chiavi e ottenere l'accesso ai dati crittografati. I criteri IAM definiscono le azioni che possono essere eseguite da un'identità (utente, gruppo o ruolo) su quali risorse. Seguendo le procedure consigliate per la sicurezza, AWS consiglia di consentire privilegi minimi. In altre parole, è necessario concedere alle identità solo le autorizzazioni necessarie e solo per le chiavi necessarie per eseguire un'attività. In caso contrario, l'utente potrebbe usare chiavi non appropriate per i dati. Anziché concedere l'autorizzazione per tutte le chiavi, determinare il set minimo di chiavi che gli utenti devono accedere ai dati crittografati. Progettare quindi i criteri che consentono agli utenti di usare solo tali chiavi. Ad esempio, non consentire l'autorizzazione "kms:Decrypt" per tutte le chiavi Servizio di gestione delle chiavi. Consentire invece solo le chiavi in una determinata area geografica per l'account. Adottando il principio dei privilegi minimi, è possibile ridurre il rischio di divulgazione involontaria dei dati.
Gravità: medio
Le funzioni lambda devono limitare l'accesso pubblico
Descrizione: i criteri basati sulle risorse delle funzioni lambda devono limitare l'accesso pubblico. Questa raccomandazione non controlla l'accesso da parte delle entità interne. Assicurarsi che l'accesso alla funzione sia limitato alle entità autorizzate solo usando criteri basati su risorse con privilegi minimi.
Gravità: alta
L'autenticazione a più fattori deve essere abilitata per tutti gli utenti IAM
Descrizione: tutti gli utenti IAM devono avere l'autenticazione a più fattori abilitata.
Gravità: medio
L'autenticazione a più fattori deve essere abilitata per l'account "radice"
Descrizione: l'account radice è l'utente con privilegi più elevati in un account. L'autenticazione a più fattori aggiunge un ulteriore livello di protezione su un nome utente e una password. Con l'autenticazione a più fattori abilitata, quando un utente accede a un sito Web AWS, viene richiesto il nome utente e la password e un codice di autenticazione dal dispositivo AWS MFA. Quando si usa l'autenticazione a più fattori virtuale per gli account radice, è consigliabile che il dispositivo usato non sia un dispositivo personale. Usa invece un dispositivo mobile dedicato (tablet o telefono) che gestisci per mantenere i costi e proteggere indipendentemente dai singoli dispositivi personali. Ciò riduce i rischi di perdere l'accesso all'autenticazione a più fattori a causa della perdita di dispositivi, del commercio dei dispositivi o se il proprietario del dispositivo non è più impiegato nell'azienda.
Gravità: Bassa
I criteri password per gli utenti IAM devono avere configurazioni complesse
Descrizione: controlla se i criteri password dell'account per gli utenti IAM usano le configurazioni minime seguenti.
- RequireUppercaseCharacters: richiedere almeno un carattere maiuscolo nella password. (Impostazione predefinita = true)
- RequireLowercaseCharacters: richiede almeno un carattere minuscolo nella password. (Impostazione predefinita = true)
- RequireNumbers- Richiedi almeno un numero di password. (Impostazione predefinita = true)
- MinimumPasswordLength- Lunghezza minima password. (Impostazione predefinita = 7 o più)
- PasswordReusePrevention- Numero di password prima di consentire il riutilizzo. (Impostazione predefinita = 4)
- MaxPasswordAge- Numero di giorni prima della scadenza della password. (Impostazione predefinita = 90)
Gravità: medio
La chiave di accesso dell'account radice non deve esistere
Descrizione: l'account radice è l'utente con privilegi più elevati in un account AWS. Le chiavi di accesso AWS forniscono l'accesso a livello di codice a un determinato account AWS. È consigliabile rimuovere tutte le chiavi di accesso associate all'account radice. Rimozione delle chiavi di accesso associate ai vettori di limiti dell'account radice tramite cui l'account può essere compromesso. Inoltre, la rimozione delle chiavi di accesso radice incoraggia la creazione e l'uso di account basati su ruoli con privilegi minimi.
Gravità: alta
L'impostazione Blocca accesso pubblico S3 deve essere abilitata
Descrizione: l'abilitazione dell'impostazione Blocca accesso pubblico per il bucket S3 consente di evitare perdite di dati sensibili e proteggere il bucket da azioni dannose.
Gravità: medio
L'impostazione Blocca accesso pubblico S3 deve essere abilitata a livello di bucket
Descrizione: questo controllo controlla se i bucket S3 hanno blocchi di accesso pubblico a livello di bucket applicati. Questo controllo ha esito negativo se una delle impostazioni seguenti è impostata su false:
- ignorePublicAcls
- blockPublicPolicy
- blockPublicAcls
- restrictPublicBuckets Blocca l'accesso pubblico a livello di bucket S3 fornisce controlli per garantire che gli oggetti non abbiano accesso pubblico. L'accesso pubblico viene concesso a bucket e oggetti tramite elenchi di controllo di accesso (ACL), criteri bucket o entrambi. A meno che non si intenda avere i bucket S3 accessibili pubblicamente, è necessario configurare la funzionalità di accesso pubblico a livello di bucket Amazon S3 Block Public Access.
Gravità: alta
L'accesso in lettura pubblico ai bucket S3 deve essere rimosso
Descrizione: la rimozione dell'accesso in lettura pubblico al bucket S3 consente di proteggere i dati e prevenire una violazione dei dati.
Gravità: alta
L'accesso pubblico ai bucket S3 deve essere rimosso
Descrizione: consentire l'accesso in scrittura pubblico al bucket S3 può lasciare vulnerabile a azioni dannose, ad esempio l'archiviazione dei dati a spese, la crittografia dei file per il riscatto o l'uso del bucket per gestire il malware.
Gravità: alta
I segreti di Secrets Manager devono avere la rotazione automatica abilitata
Descrizione: questo controllo controlla se un segreto archiviato in AWS Secrets Manager è configurato con rotazione automatica. Secrets Manager consente di migliorare il comportamento di sicurezza dell'organizzazione. I segreti includono credenziali del database, password e chiavi API di terze parti. È possibile usare Secrets Manager per archiviare i segreti in modo centralizzato, crittografare automaticamente i segreti, controllare l'accesso ai segreti e ruotare i segreti in modo sicuro e automatico. Secrets Manager può ruotare i segreti. È possibile usare la rotazione per sostituire i segreti a lungo termine con quelli a breve termine. La rotazione dei segreti limita per quanto tempo un utente non autorizzato può usare un segreto compromesso. Per questo motivo, è consigliabile ruotare frequentemente i segreti. Per altre informazioni sulla rotazione, vedere Rotazione dei segreti di AWS Secrets Manager nella Guida dell'utente di AWS Secrets Manager.
Gravità: medio
Le istanze EC2 arrestate devono essere rimosse dopo un periodo di tempo specificato
Descrizione: questo controllo controlla se le istanze EC2 sono state arrestate per più del numero di giorni consentito. Un'istanza EC2 ha esito negativo per verificare se è stata arrestata per più tempo del periodo di tempo massimo consentito, che per impostazione predefinita è 30 giorni. Una ricerca non riuscita indica che un'istanza EC2 non è stata eseguita per un periodo di tempo significativo. In questo modo si crea un rischio per la sicurezza perché l'istanza EC2 non viene gestita attivamente (analizzata, sottoposta a patch e aggiornata). Se viene avviato in un secondo momento, la mancanza di manutenzione appropriata potrebbe causare problemi imprevisti nell'ambiente AWS. Per mantenere in modo sicuro un'istanza EC2 nel tempo in uno stato di non esecuzione, avviarla periodicamente per la manutenzione e quindi arrestarla dopo la manutenzione. Idealmente si tratta di un processo automatizzato.
Gravità: medio
Le identità con provisioning eccessivo di AWS devono avere solo le autorizzazioni necessarie (anteprima)
Descrizione: un'identità attiva con provisioning eccessivo è un'identità con accesso ai privilegi non usati. Le identità attive con provisioning eccessivo, in particolare per gli account non umani che hanno definito azioni e responsabilità, possono aumentare il raggio di esplosione in caso di compromissione di un utente, di una chiave o di una risorsa. Rimuovere le autorizzazioni non necessarie e stabilire i processi di revisione per ottenere le autorizzazioni con privilegi minimi.
Gravità: medio
Le identità inutilizzate nell'ambiente AWS devono essere rimosse (anteprima)
Descrizione: le identità inattive sono entità umane e non umane che non hanno eseguito alcuna azione su alcuna risorsa negli ultimi 90 giorni. Le identità IAM inattive con autorizzazioni ad alto rischio nell'account AWS possono essere soggette ad attacchi se lasciati così come sono e lasciare le organizzazioni aperte all'uso improprio o allo sfruttamento delle credenziali. Il rilevamento proattivo e la risposta alle identità inutilizzate consentono di impedire alle entità non autorizzate di accedere alle risorse AWS.
Gravità: medio
Raccomandazioni per la rete AWS
Amazon EC2 deve essere configurato per l'uso degli endpoint VPC
Descrizione: questo controllo controlla se viene creato un endpoint di servizio per Amazon EC2 per ogni VPC. Il controllo ha esito negativo se un VPC non dispone di un endpoint VPC creato per il servizio Amazon EC2. Per migliorare il comportamento di sicurezza del VPC, è possibile configurare Amazon EC2 per l'uso di un endpoint VPC di interfaccia. Gli endpoint di interfaccia sono basati su AWS PrivateLink, una tecnologia che consente di accedere privatamente alle operazioni dell'API Amazon EC2. Limita tutto il traffico di rete tra il VPC e Amazon EC2 alla rete Amazon. Poiché gli endpoint sono supportati solo all'interno della stessa area, non è possibile creare un endpoint tra un VPC e un servizio in un'area diversa. In questo modo si evitano chiamate API Amazon EC2 indesiderate ad altre aree. Per altre informazioni sulla creazione di endpoint VPC per Amazon EC2, vedere Amazon EC2 e interfacce endpoint VPC nella Guida utente amazon EC2 per le istanze linux.
Gravità: medio
I servizi Amazon ECS non devono avere indirizzi IP pubblici assegnati automaticamente
Descrizione: un indirizzo IP pubblico è un indirizzo IP raggiungibile da Internet. Se si avviano le istanze di Amazon ECS con un indirizzo IP pubblico, le istanze di Amazon ECS sono raggiungibili da Internet. I servizi Amazon ECS non devono essere accessibili pubblicamente, in quanto ciò potrebbe consentire l'accesso imprevisto ai server applicazioni contenitore.
Gravità: alta
I nodi master del cluster Amazon EMR non devono avere indirizzi IP pubblici
Descrizione: questo controllo controlla se i nodi master nei cluster Amazon EMR hanno indirizzi IP pubblici. Il controllo ha esito negativo se il nodo master ha indirizzi IP pubblici associati a una delle relative istanze. Gli indirizzi IP pubblici sono designati nel campo PublicIp della configurazione NetworkInterfaces per l'istanza. Questo controllo controlla solo i cluster Amazon EMR in uno stato RUNNING o WAITING.
Gravità: alta
I cluster Amazon Redshift devono usare il routing VPC avanzato
Descrizione: questo controllo controlla se un cluster Amazon Redshift ha EnhancedVpcRouting abilitato. Il routing VPC avanzato forza tutto il traffico COPY e UNLOAD tra il cluster e i repository di dati per passare attraverso il VPC. È quindi possibile usare le funzionalità VPC, ad esempio i gruppi di sicurezza e gli elenchi di controllo di accesso alla rete, per proteggere il traffico di rete. È anche possibile usare i log dei flussi VPC per monitorare il traffico di rete.
Gravità: alta
Application Load Balancer deve essere configurato per reindirizzare tutte le richieste HTTP a HTTPS
Descrizione: per applicare la crittografia in transito, è consigliabile usare le azioni di reindirizzamento con i servizi di bilanciamento del carico dell'applicazione per reindirizzare le richieste HTTP client a una richiesta HTTPS sulla porta 443.
Gravità: medio
I servizi di bilanciamento del carico dell'applicazione devono essere configurati per eliminare le intestazioni HTTP
Descrizione: questo controllo valuta i servizi di bilanciamento del carico delle applicazioni AWS (ALB) per assicurarsi che siano configurati per eliminare intestazioni HTTP non valide. Il controllo ha esito negativo se il valore di routing.http.drop_invalid_header_fields.enabled è impostato su false. Per impostazione predefinita, gli ALB non sono configurati per eliminare valori di intestazione HTTP non validi. La rimozione di questi valori di intestazione impedisce attacchi di desync HTTP.
Gravità: medio
Configurare le funzioni lambda in un VPC
Descrizione: questo controllo controlla se una funzione Lambda si trova in un VPC. Non valuta la configurazione del routing della subnet VPC per determinare la raggiungibilità pubblica. Si noti che se Lambda@Edge viene trovato nell'account, questo controllo genera risultati non riusciti. Per evitare questi risultati, è possibile disabilitare questo controllo.
Gravità: Bassa
Le istanze EC2 non devono avere un indirizzo IP pubblico
Descrizione: questo controllo controlla se le istanze EC2 hanno un indirizzo IP pubblico. Il controllo ha esito negativo se il campo "publicIp" è presente nell'elemento di configurazione dell'istanza EC2. Questo controllo si applica solo agli indirizzi IPv4. Un indirizzo IPv4 pubblico è un indirizzo IP raggiungibile da Internet. Se si avvia l'istanza con un indirizzo IP pubblico, l'istanza EC2 è raggiungibile da Internet. Un indirizzo IPv4 privato è un indirizzo IP che non è raggiungibile da Internet. È possibile usare indirizzi IPv4 privati per la comunicazione tra istanze EC2 nello stesso VPC o nella rete privata connessa. Gli indirizzi IPv6 sono univoci a livello globale e pertanto sono raggiungibili da Internet. Per impostazione predefinita, tuttavia, per tutte le subnet l'attributo di indirizzamento IPv6 è impostato su false. Per altre informazioni su IPv6, vedere Indirizzi IP nel VPC nella Guida dell'utente di Amazon VPC. Se si dispone di un caso d'uso legittimo per gestire le istanze EC2 con indirizzi IP pubblici, è possibile eliminare i risultati da questo controllo. Per altre informazioni sulle opzioni di architettura front-end, vedere il blog sull'architettura di AWS o la serie This Is My Architecture (Questa è la mia architettura).
Gravità: alta
Le istanze EC2 non devono usare più ENI
Descrizione: questo controllo controlla se un'istanza EC2 usa più interfacce di rete elastiche (ENI) o schede elastiche di infrastruttura (EFA). Questo controllo passa se viene utilizzata una singola scheda di rete. Il controllo include un elenco di parametri facoltativo per identificare le ENI consentite. Più ENI possono causare istanze a doppio homeing, ovvero istanze con più subnet. Ciò può aggiungere complessità di sicurezza di rete e introdurre percorsi di rete e accesso imprevisti.
Gravità: Bassa
Le istanze EC2 devono usare IMDSv2
Descrizione: questo controllo controlla se la versione dei metadati dell'istanza EC2 è configurata con il servizio metadati dell'istanza versione 2 (IMDSv2). Il controllo passa se "HttpTokens" è impostato su "obbligatorio" per IMDSv2. Il controllo ha esito negativo se "HttpTokens" è impostato su "facoltativo". I metadati dell'istanza vengono usati per configurare o gestire l'istanza in esecuzione. L'IMDS fornisce l'accesso alle credenziali temporanee e spesso ruotate. Queste credenziali rimuovono la necessità di impostare come hardcoded o distribuire credenziali sensibili alle istanze manualmente o a livello di codice. L'IMDS viene collegato localmente a ogni istanza EC2. Viene eseguito su un indirizzo IP speciale "link local" 169.254.169.254. Questo indirizzo IP è accessibile solo dal software in esecuzione nell'istanza di . La versione 2 di IMDS aggiunge nuove protezioni per i tipi di vulnerabilità seguenti. Queste vulnerabilità possono essere usate per tentare di accedere a IMDS.
- Aprire i firewall delle applicazioni del sito Web
- Aprire proxy inversi
- Vulnerabilità della richiesta sul lato server (SSRF)
- Aprire i firewall di livello 3 e l'hub di sicurezza NAT (Network Address Translation) consiglia di configurare le istanze EC2 con IMDSv2.
Gravità: alta
Le subnet EC2 non devono assegnare automaticamente indirizzi IP pubblici
Descrizione: questo controllo controlla se l'assegnazione di indirizzi IP pubblici nelle subnet Amazon Virtual Private Cloud (Amazon VPC) ha impostato "MapPublicIpOnLaunch" su "FAL edizione Standard". Il controllo passa se il flag è impostato su "FAL edizione Standard". Tutte le subnet hanno un attributo che determina se un'interfaccia di rete creata nella subnet riceve automaticamente un indirizzo IPv4 pubblico. Le istanze avviate in subnet con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete primaria.
Gravità: medio
Verificare che esista un filtro e un allarme delle metriche del log per le modifiche alla configurazione di AWS Config
Descrizione: il monitoraggio in tempo reale delle chiamate API può essere ottenuto indirizzando i log CloudTrail ai log di CloudWatch e stabilendo i filtri e gli allarmi delle metriche corrispondenti. È consigliabile stabilire un filtro delle metriche e un allarme per rilevare le modifiche apportate alle configurazioni di CloudTrail. Il monitoraggio delle modifiche apportate alla configurazione di AWS Config consente di garantire una visibilità sostenuta degli elementi di configurazione all'interno dell'account AWS.
Gravità: Bassa
Verificare che esista un filtro e un allarme delle metriche del log per gli errori di autenticazione di AWS Management Console
Descrizione: il monitoraggio in tempo reale delle chiamate API può essere ottenuto indirizzando i log CloudTrail ai log di CloudWatch e stabilendo i filtri e gli allarmi delle metriche corrispondenti. È consigliabile stabilire un filtro delle metriche e un allarme per i tentativi di autenticazione della console non riusciti. Il monitoraggio degli accessi alla console non riusciti potrebbe ridurre il lead time per rilevare un tentativo di forza bruta di una credenziale, che potrebbe fornire un indicatore, ad esempio l'INDIRIZZO IP di origine, che può essere usato in altre correlazioni di eventi.
Gravità: Bassa
Assicurarsi che esista un filtro e un allarme delle metriche del log per le modifiche apportate agli elenchi di Controllo di accesso di rete (NACL)
Descrizione: il monitoraggio in tempo reale delle chiamate API può essere ottenuto indirizzando i log CloudTrail ai log di CloudWatch e stabilendo i filtri e gli allarmi delle metriche corrispondenti. I CRL vengono usati come filtro di pacchetti senza stato per controllare il traffico in ingresso e in uscita per le subnet all'interno di un VPC. È consigliabile stabilire un filtro di metrica e un allarme per le modifiche apportate ai CRL. Il monitoraggio delle modifiche apportate ai CRL consente di garantire che le risorse e i servizi aws non siano involontariamente esposti.
Gravità: Bassa
Assicurarsi che esista un filtro e un allarme per le metriche dei log per le modifiche apportate ai gateway di rete
Descrizione: il monitoraggio in tempo reale delle chiamate API può essere ottenuto indirizzando i log CloudTrail ai log di CloudWatch e stabilendo i filtri e gli allarmi delle metriche corrispondenti. I gateway di rete sono necessari per inviare/ricevere traffico a una destinazione esterna a un VPC. È consigliabile stabilire un filtro delle metriche e un allarme per le modifiche ai gateway di rete. Il monitoraggio delle modifiche apportate ai gateway di rete consente di garantire che tutto il traffico in ingresso/uscita attraversi il bordo VPC tramite un percorso controllato.
Gravità: Bassa
Verificare che esista un filtro e un allarme delle metriche del log per le modifiche alla configurazione di CloudTrail
Descrizione: il monitoraggio in tempo reale delle chiamate API può essere ottenuto indirizzando i log CloudTrail ai log di CloudWatch e stabilendo i filtri e gli allarmi delle metriche corrispondenti. È consigliabile stabilire un filtro delle metriche e un allarme per rilevare le modifiche apportate alle configurazioni di CloudTrail.
Il monitoraggio delle modifiche apportate alla configurazione di CloudTrail consente di garantire una visibilità sostenuta delle attività eseguite nell'account AWS.
Gravità: Bassa
Verificare che esista un filtro e un allarme per la metrica del log per disabilitare o pianificare l'eliminazione dei cmk creati dal cliente
Descrizione: il monitoraggio in tempo reale delle chiamate API può essere ottenuto indirizzando i log CloudTrail ai log di CloudWatch e stabilendo i filtri e gli allarmi delle metriche corrispondenti. È consigliabile stabilire un filtro di metrica e un allarme per i cmk creati dal cliente, che hanno modificato lo stato in un'eliminazione disabilitata o pianificata. I dati crittografati con chiavi disabilitate o eliminate non saranno più accessibili.
Gravità: Bassa
Verificare che esista un filtro e un allarme delle metriche del log per le modifiche ai criteri IAM
Descrizione: il monitoraggio in tempo reale delle chiamate API può essere ottenuto indirizzando i log CloudTrail ai log di CloudWatch e stabilendo i filtri e gli allarmi delle metriche corrispondenti. È consigliabile che venga stabilito un filtro delle metriche e un allarme apportate ai criteri di gestione delle identità e degli accessi .it's recommended that a metric filter and alarm be established changes to Identity and Access Management (IAM). Il monitoraggio delle modifiche ai criteri IAM consente di garantire che i controlli di autenticazione e autorizzazione rimangano intatti.
Gravità: Bassa
Verificare che esista un filtro e un allarme delle metriche di log per l'accesso a Management Console senza MFA
Descrizione: il monitoraggio in tempo reale delle chiamate API può essere ottenuto indirizzando i log CloudTrail ai log di CloudWatch e stabilendo i filtri e gli allarmi delle metriche corrispondenti. È consigliabile stabilire un filtro delle metriche e un allarme per gli account di accesso alla console che non sono protetti dall'autenticazione a più fattori (MFA). Il monitoraggio degli account di accesso alla console a fattore singolo aumenta la visibilità degli account non protetti da MFA.
Gravità: Bassa
Verificare che esista un filtro delle metriche del log e un allarme per le modifiche alla tabella di route
Descrizione: il monitoraggio in tempo reale delle chiamate API può essere ottenuto indirizzando i log CloudTrail ai log di CloudWatch e stabilendo i filtri e gli allarmi delle metriche corrispondenti. Le tabelle di routing vengono usate per instradare il traffico di rete tra subnet e gateway di rete. È consigliabile stabilire un filtro delle metriche e un allarme per le modifiche alle tabelle di route. Il monitoraggio delle modifiche alle tabelle di route consente di garantire che tutto il traffico VPC passi attraverso un percorso previsto.
Gravità: Bassa
Verificare che esista un filtro delle metriche del log e un allarme per le modifiche ai criteri del bucket S3
Descrizione: il monitoraggio in tempo reale delle chiamate API può essere ottenuto indirizzando i log CloudTrail ai log di CloudWatch e stabilendo i filtri e gli allarmi delle metriche corrispondenti. È consigliabile stabilire un filtro delle metriche e un allarme per le modifiche ai criteri bucket S3. Il monitoraggio delle modifiche ai criteri bucket S3 potrebbe ridurre il tempo necessario per rilevare e correggere i criteri permissivi nei bucket S3 sensibili.
Gravità: Bassa
Verificare che esista un filtro delle metriche del log e un allarme per le modifiche del gruppo di sicurezza
Descrizione: il monitoraggio in tempo reale delle chiamate API può essere ottenuto indirizzando i log CloudTrail ai log di CloudWatch e stabilendo i filtri e gli allarmi delle metriche corrispondenti. I gruppi di sicurezza sono un filtro di pacchetti con stato che controlla il traffico in ingresso e in uscita all'interno di un VPC. È consigliabile che venga stabilito un filtro delle metriche e un allarme per i gruppi di sicurezza. Il monitoraggio delle modifiche apportate al gruppo di sicurezza consente di assicurarsi che le risorse e i servizi non siano involontariamente esposti.
Gravità: Bassa
Verificare che esista un filtro e un allarme per le metriche di log per le chiamate API non autorizzate
Descrizione: il monitoraggio in tempo reale delle chiamate API può essere ottenuto indirizzando i log CloudTrail ai log di CloudWatch e stabilendo i filtri e gli allarmi delle metriche corrispondenti. È consigliabile stabilire un filtro delle metriche e un allarme per le chiamate API non autorizzate. Il monitoraggio delle chiamate API non autorizzate consente di rivelare gli errori dell'applicazione e potrebbe ridurre il tempo necessario per rilevare attività dannose.
Gravità: Bassa
Verificare che esista un filtro e un allarme delle metriche del log per l'utilizzo dell'account "root"
Descrizione: il monitoraggio in tempo reale delle chiamate API può essere ottenuto indirizzando i log CloudTrail ai log di CloudWatch e stabilendo i filtri e gli allarmi delle metriche corrispondenti. È consigliabile stabilire un filtro delle metriche e un allarme per i tentativi di accesso radice.
Il monitoraggio degli account di accesso radice offre visibilità sull'uso di un account con privilegi completi e un'opportunità per ridurre l'uso di esso.
Gravità: Bassa
Verificare che esista un filtro e un allarme delle metriche del log per le modifiche del VPC
Descrizione: il monitoraggio in tempo reale delle chiamate API può essere ottenuto indirizzando i log CloudTrail ai log di CloudWatch e stabilendo i filtri e gli allarmi delle metriche corrispondenti. È possibile avere più VPC all'interno di un account, inoltre è anche possibile creare una connessione peer tra 2 VPC, consentendo al traffico di rete di instradarsi tra reti virtuali. È consigliabile stabilire un filtro delle metriche e un allarme per le modifiche apportate alle VPN. Il monitoraggio delle modifiche ai criteri IAM consente di garantire che i controlli di autenticazione e autorizzazione rimangano intatti.
Gravità: Bassa
Verificare che nessun gruppo di sicurezza consenta l'ingresso da 0.0.0.0/0 alla porta 3389
Descrizione: i gruppi di sicurezza forniscono un filtro con stato del traffico di rete in ingresso/uscita verso le risorse AWS. È consigliabile che nessun gruppo di sicurezza consenta l'accesso in ingresso senza restrizioni alla porta 3389. La rimozione della connettività senza limiti ai servizi console remoti, ad esempio RDP, riduce l'esposizione di un server a rischi.
Gravità: alta
I database e i cluster Servizi Desktop remoto non devono usare una porta predefinita del motore di database
Descrizione: questo controllo controlla se il cluster o l'istanza di Servizi Desktop remoto utilizza una porta diversa dalla porta predefinita del motore di database. Se si usa una porta nota per distribuire un cluster o un'istanza di Servizi Desktop remoto, un utente malintenzionato può indovinare informazioni sul cluster o sull'istanza. L'utente malintenzionato può usare queste informazioni insieme ad altre informazioni per connettersi a un cluster o a un'istanza di Servizi Desktop remoto o ottenere informazioni aggiuntive sull'applicazione. Quando si modifica la porta, è necessario aggiornare anche i stringa di connessione esistenti usati per connettersi alla porta precedente. È anche necessario controllare il gruppo di sicurezza dell'istanza del database per assicurarsi che includa una regola di ingresso che consenta la connettività sulla nuova porta.
Gravità: Bassa
Le istanze di Servizi Desktop remoto devono essere distribuite in un VPC
Descrizione: le VPN forniscono diversi controlli di rete per proteggere l'accesso alle risorse di Servizi Desktop remoto. Questi controlli includono endpoint VPC, ACL di rete e gruppi di sicurezza. Per sfruttare questi controlli, è consigliabile spostare le istanze di EC2-Classic RDS in EC2-VPC.
Gravità: Bassa
I bucket S3 devono richiedere richieste per l'uso di Secure Socket Layer
Descrizione: è consigliabile richiedere alle richieste di usare Secure Socket Layer (SSL) in tutti i bucket Amazon S3. I bucket S3 devono avere criteri che richiedono tutte le richieste ('Azione: S3:*') per accettare solo la trasmissione dei dati su HTTPS nei criteri di risorsa S3, indicati dalla chiave della condizione 'aws:SecureTransport'.
Gravità: medio
I gruppi di sicurezza non devono consentire l'ingresso da 0.0.0.0/0 alla porta 22
Descrizione: per ridurre l'esposizione del server, è consigliabile non consentire l'accesso in ingresso senza restrizioni alla porta '22'.
Gravità: alta
I gruppi di sicurezza non devono consentire l'accesso senza restrizioni alle porte con rischio elevato
Descrizione: questo controllo controlla se il traffico in ingresso senza restrizioni per i gruppi di sicurezza è accessibile alle porte specificate con il rischio più elevato. Questo controllo passa quando nessuna delle regole in un gruppo di sicurezza consente il traffico in ingresso da 0.0.0.0/0 per tali porte. L'accesso senza restrizioni (0.0.0.0/0) aumenta le opportunità di attività dannose, ad esempio l'hacking, gli attacchi Denial of Service e la perdita di dati. I gruppi di sicurezza forniscono il filtro con stato del traffico di rete in ingresso e in uscita verso le risorse AWS. Nessun gruppo di sicurezza deve consentire l'accesso in ingresso senza restrizioni alle porte seguenti:
- 3389 (RDP)
- 20, 21 (FTP)
- 22 (SSH)
- 23 (Telnet)
- 110 (POP3)
- 143 (IMAP)
- 3306 (MySQL)
- 8080 (proxy)
- 1433, 1434 (MSSQL)
- 9200 o 9300 (Elasticsearch)
- 5601 (Kibana)
- 25 (SMTP)
- 445 (CIFS)
- 135 (RPC)
- 4333 (ahsp)
- 5432 (postgresql)
- 5500 (fcp-addr-srvr1)
Gravità: medio
I gruppi di sicurezza devono consentire solo il traffico in ingresso senza restrizioni per le porte autorizzate
Descrizione: questo controllo controlla se i gruppi di sicurezza in uso consentono il traffico in ingresso senza restrizioni. Facoltativamente, la regola controlla se i numeri di porta sono elencati nel parametro "authorizedTcpPorts".
- Se il numero di porta della regola del gruppo di sicurezza consente il traffico in ingresso senza restrizioni, ma il numero di porta viene specificato in "authorizedTcpPorts", il controllo passa. Il valore predefinito per "authorizedTcpPorts" è 80, 443.
- Se il numero di porta della regola del gruppo di sicurezza consente il traffico in ingresso senza restrizioni, ma il numero di porta non è specificato nel parametro di input authorizedTcpPorts, il controllo ha esito negativo.
- Se il parametro non viene usato, il controllo ha esito negativo per qualsiasi gruppo di sicurezza con una regola in ingresso senza restrizioni. I gruppi di sicurezza forniscono il filtro con stato del traffico di rete in ingresso e in uscita verso AWS. Le regole del gruppo di sicurezza devono rispettare il principio dell'accesso con privilegi minimi. L'accesso senza restrizioni (indirizzo IP con suffisso /0) aumenta l'opportunità di attività dannose, ad esempio l'hacking, gli attacchi Denial of Service e la perdita di dati. A meno che non sia consentita specificamente una porta, la porta deve negare l'accesso senza restrizioni.
Gravità: alta
Gli EIP EC2 inutilizzati devono essere rimossi
Descrizione: gli indirizzi IP elastici allocati a un VPC devono essere collegati alle istanze di Amazon EC2 o alle interfacce di rete elastiche (ENI) in uso.
Gravità: Bassa
Gli elenchi di controllo di accesso alla rete inutilizzati devono essere rimossi
Descrizione: questo controllo controlla se sono presenti elenchi di controllo di accesso di rete inutilizzati (ACL). Il controllo controlla la configurazione dell'elemento della risorsa "AWS::EC2::NetworkAcl" e determina le relazioni dell'ACL di rete. Se l'unica relazione è il VPC dell'ACL di rete, il controllo ha esito negativo. Se vengono elencate altre relazioni, il controllo passa.
Gravità: Bassa
Il gruppo di sicurezza predefinito di VPC deve limitare tutto il traffico
Descrizione: il gruppo di sicurezza deve limitare tutto il traffico per ridurre l'esposizione delle risorse.
Gravità: Bassa