Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Conformità della configurazione in Acceler
AMS Accelerate ti aiuta a configurare le tue risorse secondo standard elevati di sicurezza e integrità operativa e a rispettare i seguenti standard di settore:
Center for Internet Security (CIS)
Framework di sicurezza cloud (CSF) del National Institute of Standards and Technology (NIST)
Health Insurance Portability and Accountability Act (HIPAA)
Standard di sicurezza dei dati (DSS) del settore delle carte di pagamento (PCI)
Lo facciamo implementando l'intero set di AWS Config regole di conformità sul tuo account, vedi. Libreria AMS Config Rule Una AWS Config regola rappresenta le configurazioni desiderate per una risorsa e viene valutata in base alle modifiche alla configurazione delle impostazioni delle risorse. AWS Qualsiasi modifica alla configurazione attiva un gran numero di regole per verificare la conformità. Ad esempio, supponiamo di creare un bucket Amazon S3 e di configurarlo in modo che sia leggibile pubblicamente, in violazione degli standard NIST. La bucket-public-read-prohibited regola ams-nist-cis-s 3 rileva la violazione e etichetta il bucket S3 come non conforme nel report di configurazione. Poiché questa regola appartiene alla categoria di riparazione automatica degli incidenti, crea immediatamente un rapporto sugli incidenti, che avvisa l'utente del problema. Altre violazioni più gravi delle regole potrebbero indurre AMS a risolvere automaticamente il problema. Per informazioni, consulta Risposte alle violazioni in Accelerate.
Importante
Se desideri che facciamo di più, ad esempio, se desideri che AMS ponga rimedio a una violazione per te, indipendentemente dalla categoria di riparazione, invia una richiesta di assistenza che chieda ad AMS di porre rimedio alle risorse non conformi per te. Nella richiesta di assistenza, includi un commento come «Come parte della correzione delle regole di configurazione AMS, rimedia alle risorse non soggette a reclamiRESOURCE_ARNS_OR_IDs, regola di configurazione CONFIG_RULE_NAME nell'account» e aggiungi gli input necessari per porre rimedio alla violazione.
Se vuoi che facciamo di meno, ad esempio, se non vuoi che interveniamo su un particolare bucket S3 che richiede l'accesso pubblico per progettazione, puoi creare eccezioni, vedi. Creazione di eccezioni alle regole in Accelerate
Libreria AMS Config Rule
Accelerate implementa una libreria di regole di configurazione AMS per proteggere il tuo account. Queste regole di configurazione iniziano con. ams- Puoi visualizzare le regole all'interno del tuo account e il relativo stato di conformità dalla AWS Config console, dalla AWS CLI o dall' AWS Config API. Per informazioni generali sull'utilizzo AWS Config, consulta ViewingConfiguration Conformità.
Nota
Per le regioni opt-in Regioni AWS e gov cloud, implementiamo solo un sottoinsieme delle regole di configurazione a causa delle restrizioni regionali. Verifica la disponibilità delle regole nelle regioni controllando il link associato all'identificatore nella tabella delle regole di configurazione di AMS Accelerate.
Non è possibile rimuovere nessuna delle regole di Config AMS distribuite.
Tabella delle regole
Scarica come ams_config_rules.zip.
| Nome regola | Servizio | Trigger | Azione | Framework |
|---|---|---|---|---|
| ams-nist-cis-guardduty-abilitato-centralizzato | GuardDuty | Periodic (Periodico) | Risanare | CIS: CIS.13, CIS.14; NIST-CSF: PR.DS-1; HIPAA: 164.312 (a) (2) (iv), 164.312 (e) (2) (ii); PCI: 2,2,3.4,8.2.1; |
| ams-nist-cis-vpc-flow-logs-enabled | VPC | Periodic (Periodico) | Risolvere | CIS: CIS.6; NIST-CSF: DE.AE-1, DE.AE-3, PR.DS-5, PR.PT-1; HIPAA: 164.308 (a) (3) (ii) (A), 164.312 (b); PCI: 2.2,10.1,10.3.2,10.3.3,10.3.3,10.3.4,10.3.5,10.3.6; |
| ams-eks-secrets-encrypted | EKS | Periodic (Periodico) | Incidente | CIS: NA; NIST-CSF: NA; HIPAA: NA; PCI: NA; |
| ams-eks-endpoint-no-accesso pubblico | EKS | Periodic (Periodico) | Incidente | CIS: NA; NIST-CSF: NA; HIPAA: NA; PCI: NA; |
| ams-nist-cis-vpc-default-security-group-closed | VPC | Modifiche alla configurazione | Incidente | CIS: CIS.11, CIS.12, CIS.9; NIST-CSF: DE.AE-1, PR.AC-3, PR.AC-5, PR.PT-4; HIPAA: 164.312 (e) (1); PCI: 1,2, 1,3, 2,1, 2,2, 2.1,1.3.1,1.3.2,2.2.2; |
| ams-nist-cis-iam-politica in materia di password | IAM | Periodic (Periodico) | Incidente | CIS: NA; NIST-CSF: PR.AC-1, PR.AC-4; HIPAA: 164,308 (a) (3) (i), 164.308 (a) (3) (ii) (A) ,164,308 (a) (3) (ii) (B) ,164308 (a) (4) (i), 164.308 (a) (4) (ii) (A), 164.308 (a), 164.308 (a) (a), 164.308 (a) (a), 164.308 (a) (a), 164.308 (a) (A), 164.308 (a) 308 (a) (4) (ii) (B), 164.308 (a) (4) (ii) (C), 164,312 (a) (1); PCI: 7.1.2,7.1.3, 7.2.1,7.2.2; |
| ams-nist-cis-iam-root-access-key-check | IAM | Periodic (Periodico) | Incidente | CIS: CIS.16, CIS.4; NIST-CSF: PR.AC-1, PR.AC-4, PR.PT-3; HIPAA: 164,308 (a) (3) (i), 164.308 (a) (a) (3) (ii) (A), 164.308 (a) (3) (ii) (B), 164.308 (a) (4) (i), 164.308 (a), 164.308 (a), 164.308 (a), 164.308 (a), 164.308 (a), 164.308 (a) (4) (ii) (A), 164.308 (a) (4) (ii) (B), 164.308 (a) (4) (ii) (C), 164,312 (a) (1); PCI: 2,2,7.1.2,7.1.3,7.2.1,7.2.2; |
| ams-nist-cis-iam-user-mfa-enabled | IAM | Periodic (Periodico) | Incidente | CIS: CIS.16; NIST-CSF: PR.AC-1, PR.AC-4; HIPAA: 164,308 (a) (3) (i), 164.308 (a) (3) (ii) (A) ,164.308 (a) (3) (ii) (B), 164.308 (a) (4) (i), 164.308 (a) (4) (ii) (A) ,164,308 (a) (4) (ii) (B), 164.308 (a) (4) (ii) (C), 164,312 (a) (1); PCI: 2,2,7.1.2,7.1.3,7.2.1,7.2.2; |
| ams-nist-cis-restricted-ssh | Gruppi di sicurezza | Modifiche alla configurazione | Incidente | CIS: CIS.16; NIST-CSF: PR.AC-1, PR.AC-4; HIPAA: 164,308 (a) (3) (i), 164.308 (a) (4) (ii) (A), 164.308 (a) (4) (ii) (B), 164.308 (a) (4) (ii) (C), 164,312 (a) (1); PP CI: 2.2, 7.2.1, 8.1.4; |
| ams-nist-cis-restricted-porte comuni | Gruppi di sicurezza | Modifiche alla configurazione | Incidente | CIS: CIS.11, CIS.12, CIS.9; NIST-CSF: DE.AE-1, PR.AC-3, PR.AC-5, PR.PT-4; HIPAA: 164.308 (a) (3) (i), 164.308 (a) (3) (ii) (B), 164.308 (a) (i), 164.308 (a) (4) (a) (4) ii) (A), 164.308 (a) (4) (ii) (B), 164.308 (a) (4) (ii) (C) ,164,312 (a) (1) ,164.312 (e) (1); PCI: 1,2, 3,2,2, 2,1, 2,1, 3,1, 3,1, 3,1, 3,2, 3,2, 2,2.2; |
| ams-nist-cis-s3 account-level-public-access - blocchi | S3 | Modifiche alla configurazione | Incidente | CIS: CIS.9, CIS.12, CIS.14; NIST-CSF: PR.AC-3, PR.AC-4, PR.AC-5, PR.DS-5, PR.PT-3, PR.PT-4; HIPAA: 164.308 (a) (3) (i), 164.308 (a) (i) (4) (ii) (A), 164.308 (a) (4) (ii) C), 164,312 (a) (1) ,164,312 (e) (1); PCI: 1,2, 2,1, 1,3, 3,1, 3,1, 3,2, 3,4, 3,6, 2,2,2,2,2; |
| ams-nist-cis-s3- bucket-public-read-prohibited | S3 | Modifiche alla configurazione | Incidente | CIS: CIS.12, CIS.14, CIS.9; NIST-CSF: PR.AC-3, PR.AC-4, PR.AC-5, PR.DS-5, PR.PT-3, PR.PT-4; HIPAA: 164.308 (a) (3) (i), 164.308 (a) (i) (4) (ii) (A), 164.308 (a) (4) (ii) C), 164,312 (a) (1), 164,312 (e) (1); PCI: 1,2, 3,2,2, 2,1, 2,1, 3,1, 3,1, 2,1, 3,6, 2,2.2; |
| ams-nist-cis-s3- bucket-public-write-prohibited | S3 | Modifiche alla configurazione | Incidente | CIS: CIS.12, CIS.14, CIS.9; NIST-CSF: PR.AC-3, PR.AC-4, PR.AC-5, PR.DS-5, PR.PT-3, PR.PT-4; HIPAA: 164.308 (a) (3) (i), 164.308 (a) (i) (4) (ii) (A), 164.308 (a) (4) (ii) C), 164,312 (a) (1), 164,312 (e) (1); PCI: 1,2, 3,2,2, 2,1, 2,1, 3,1, 3,1, 2,1, 3,6, 2,2.2; |
| ams-nist-cis-s3- bucket-server-side-encryption abilitato | S3 | Modifiche alla configurazione | Incidente | CIS: CIS.13, CIS.14; NIST-CSF: PR.DS-1; HIPAA: 164.312 (a) (2) (iv), 164.312 (c) (2), 164.312 (e) (2) (ii); PCI: 2,2,34,10.5,8.2.1; |
| ams-nist-cis-securityhub-abilitato | Security Hub | Periodic (Periodico) | Incidente | CIS: CIS.3, CIS.4, CIS.6, CIS.12, CIS.16, CIS.19; NIST-CSF: PR.DS-5, PR.PT-1; HIPAA: 164.312b; PCI: NA; |
| ams-nist-cis-ecinstance-managed-by-systems2- -manager | EC2 | Modifiche alla configurazione | Report | CIS: CIS.2, CIS.5; NIST-CSF: ID.AM-2, PR.IP-1; HIPAA: 164,308 (a) (5) (ii) (B); PCI: 2.4; |
| ams-nist-cis-cloudtrail-abilitato | CloudTrail | Periodic (Periodico) | Report | CIS: CIS.16, CIS.6; NIST-CSF: DE.AE-1, DE.AE-3, PR.DS-5, PR.MA-2, PR.PT-1; HIPAA: 164.308 (a) (3) (ii) (A), 164.308 (a) (5) (ii) (C), 164.312 (b); PCI: 10.1,10.2.1,10.10.10.10 2,2,10.2.3,10.2,4,10.2,5,10.2.6,10.2.7,10.3,10.3,2,10.3.3,10.3.4,10,3,5,10.3.6; |
| ams-nist-cis-access-tasti ruotati | IAM | Periodic (Periodico) | Report | CIS: CIS.16; NIST-CSF: PR.AC-1; HIPAA: 164,308 (a) (4) (ii) (B); PCI: 2.2; |
| ams-nist-cis-acm-certificate-expiration-check | Certificate Manager | Modifiche alla configurazione | Report | CIS: CIS.13, CIS.14; NIST-CSF: PR.AC-5, PR.PT-4; HIPAA: NA; PCI: 4.1; |
| ams-nist-cis-alb- -controlla http-to-https-redirection | ALB | Periodic (Periodico) | Report | CIS: CIS.13, CIS.14; NIST-CSF: PR.DS-2; HIPAA: 164.312 (a) (2) (iv), 164.312 (e) (1), 164.312 (e) (2) (i), 164.312 (e) (2) (ii); PCI: 2,3, 4.1, 8.2.1; |
| ams-nist-cis-api- - crittografato gw-cache-enabled-and | API Gateway | Modifiche alla configurazione | Report | CIS: CIS.13, CIS.14; NIST-CSF: PR.DS-1; HIPAA: 164,312 (a) (2) (iv), 164.312 (e) (2) (ii); PCI: 3.4; |
| ams-nist-cis-api-gw-execution-logging-enabled | API Gateway | Modifiche alla configurazione | Report | CIS: CIS.6; NIST-CSF: DE.AE-1, DE.AE-3, PR.PT-1; HIPAA: 164.312 (b); PCI: 10.1,10.3.1,10.3.2,10.3.3,10.3.4,10.3.5,10.3.6,10.5.4; |
| ams-nist-autoscaling-group-elb-healthcheck-required | ELB | Modifiche alla configurazione | Report | CIS: NA; NIST-CSF: PR.PT-1, PR.PT-5; HIPAA: 164,312 (b); PCI: 2.2; |
| ams-nist-cis-cloud-trail-encryption-enabled | CloudTrail | Periodic (Periodico) | Report | CIS: CIS.13, CIS.14; NIST-CSF: PR.DS-1; HIPAA: 164,312 (a) (2) (iv), 164,312 (e) (2) (ii); PCI: 2,2,3.4, 10,5; |
| ams-nist-cis-cloud- -abilitato trail-log-file-validation | CloudTrail | Periodic (Periodico) | Report | CIS: CIS.6; NIST-CSF: PR.DS-6; HIPAA: 164.312 (c) (1), 164.312 (c) (2); PCI: 2.2, 10.5,11.5, 10.5.2, 10.5.5; |
| ams-nist-cis-cloudtrail-s3-dataevents-abilitato | CloudTrail | Periodic (Periodico) | Report | CIS: CIS.6; NIST-CSF: DE.AE-1, DE.AE-3, PR.DS-5, PR.PT-1; HIPAA: 164.308 (a) (3) (ii) (A) ,164.312 (b); PCI: 2.2,10.1.10.2.1,10.2.2,10.2.2,10.2.3,10.2.5,10.3.10.3.3,3,10.3.3 0,3,4,10,3,5,10,3,6; |
| ams-nist-cis-cloudwatch-alarm-action-check | CloudWatch | Modifiche alla configurazione | Report | CIS: CIS.13, CIS.14; NIST-CSF: NA; HIPAA: 164.312 (a) (2) (iv), 164.312 (e) (2) (ii); PCI: 3.4; |
| ams-nist-cis-cloudwatch-log-group-encrypted | CloudWatch | Periodic (Periodico) | Report | CIS: CIS.13, CIS.14; NIST-CSF: NA; HIPAA: 164,312 (a) (2) (iv), 164,312 (e) (2) (ii); PCI: 3.4; |
| ams-nist-cis-codebuild-project-envvar-awscred-check | CodeBuild | Modifiche alla configurazione | Report | CIS: CIS.18; NIST-CSF: PR.DS-5; HIPAA: 164.308 (a) (3) (i), 164.308 (a) (4) (ii) (A) ,164.308 (a) (4) (ii) (C), 164.312 (a) (1); PCI: 8.2.1; |
| ams-nist-cis-codebuild- -controlla project-source-repo-url | CodeBuild | Modifiche alla configurazione | Report | CIS: CIS.18; NIST-CSF: PR.DS-5; HIPAA: 164.308 (a) (3) (i), 164.308 (a) (4) (ii) (A) ,164.308 (a) (4) (ii) (C), 164.312 (a) (1); PCI: 8.2.1; |
| ams-nist-cis-db-instance-backup-enabled | RDS | Modifiche alla configurazione | Report | CIS: CIS.10; NIST-CSF: ID.BE-5, PR.DS-4, PR.IP-4, PR.PT-5, RC.RP-1; HIPAA: 164,308 (a) (7) (i), 164.308 (a) (7) (a) (7) (a) (7) (a) (7) (b); PCI: NA; |
| ams-nist-cis-dms-replication-not-public | DMS | Periodic (Periodico) | Report | CIS: CIS.12, CIS.14, CIS.9; NIST-CSF: PR.AC-3, PR.AC-4, PR.AC-5, PR.DS-5, PR.PT-3, PR.PT-4; HIPAA: 164.308 (a) (3) (i), 164.308 (a) (i) (4) (ii) (A), 164.308 (a) (4) (ii) C), 164,312 (a) (1), 164,312 (e) (1); PCI: 1,2,1,3,1.2.1,1.3.2,1.3.3,4,1.3.6,2.2.2; |
| ams-nist-dynamodb-autoscaling-abilitato | DynamoDB | Periodic (Periodico) | Report | CIS: NA; NIST-CSF: ID.BE-5, PR.DS-4, PR.PT-5, RC.RP-1; HIPAA: 164,308 (a) (7) (i), 164.308 (a) (7) (7) (7) (ii) (C); PCI: NA; |
| ams-nist-cis-dynamodb-abilitato a pitr | DynamoDB | Periodic (Periodico) | Report | CIS: CIS.10; NIST-CSF: ID.BE-5, PR.DS-4, PR.IP-4, PR.PT-5, RC.RP-1; HIPAA: 164.308 (a) (7) (i), 164.308 (a) (7) (a) (7) (a) (7) (a) (7) (i); PCI: NA; |
| ams-nist-dynamodb-throughput-limite-controllo | DynamoDB | Periodic (Periodico) | Report | CIS: NA; NIST-CSF: NA; HIPAA: 164.312b; PCI: NA; |
| ams-nist-ebs-optimized-istanza | EBS | Modifiche alla configurazione | Report | CIS: NA; NIST-CSF: NA; HIPAA: 164.308 (a) (7) (i); PCI: NA; |
| ams-nist-cis-ebs-snapshot-public-restorable-check | EBS | Periodic (Periodico) | Report | CIS: CIS.12, CIS.14, CIS.9; NIST-CSF: PR.AC-3, PR.AC-4, PR.AC-5, PR.DS-5, PR.PT-3, PR.PT-4; HIPAA: 164.308 (a) (3) (i), 164.308 (a) (i) (4) (ii) (A), 164.308 (a) (4) (ii) C), 164,312 (a) (1), 164,312 (e) (1); PCI: 1,2,1,3,1.2.1,1.3.2,1.3.3,4,1.3.6,2.2.2; |
| ams-nist-ec2- instance-detailed-monitoring-enabled | EC2 | Modifiche alla configurazione | Report | CIS: NA; NIST-CSF: DE.AE-1, PR.PT-1; HIPAA: 164.312 (b); PCI: NA; |
| ams-nist-cis-ec2- instance-no-public-ip | EC2 | Modifiche alla configurazione | Report | CIS: CIS.12, CIS.14, CIS.9; NIST-CSF: PR.AC-3, PR.AC-4, PR.AC-5, PR.PT-3, PR.PT-4; HIPAA: 164.308 (a) (3) (i) ,164,312 (a) (1), 164,312 (e) (1); PCI: 1,2, 1,3, 2,1, 1,1, 3,2, 3,4, 3,6, 2,2.2; |
| ams-nist-cis-ec2- managedinstance-association-compliance-status -controlla | EC2 | Modifiche alla configurazione | Report | CIS: CIS.12, CIS.9; NIST-CSF: PR.AC-3, PR.AC-4, PR.AC-5, PR.PT-3, PR.PT-4; HIPAA: 164.308 (a) (3) (i), 164.308 (a) (4) (ii) (A), 164.308 (a) (4) (ii) (C), 164.312 (a) (a) (a) 1), 164,312 (e) (1); PCI: 1,2, 1,3, 2,1, 3,1, 3,2, 3,4, 3,6, 2,2.2; |
| ams-nist-cis-ec2- managedinstance-patch-compliance-status -controlla | EC2 | Modifiche alla configurazione | Report | CIS: CIS.2, CIS.5; NIST-CSF: ID.AM-2, PR.IP-1; HIPAA: 164,308 (a) (5) (ii) (B); PCI: 6.2; |
| ams-nist-cis-ecistanza a 2 interruzioni | EC2 | Periodic (Periodico) | Report | CIS: CIS.2; NIST-CSF: ID.AM-2, PR.IP-1; HIPAA: NA; PCI: NA; |
| ams-nist-cis-ec2- volume-inuse-check | EC2 | Modifiche alla configurazione | Report | CIS: CIS.2; NIST-CSF: PR.IP-1; HIPAA: NA; PCI: NA; |
| ams-nist-cis-efs-controllo crittografato | EFS | Periodic (Periodico) | Report | CIS: CIS.13, CIS.14; NIST-CSF: PR.DS-1; HIPAA: 164.312 (a) (2) (iv), 164.312 (e) (2) (ii); PCI: 3.4,8.2.1; |
| ams-nist-cis-eip-allegato | EC2 | Modifiche alla configurazione | Report | CIS: CIS.13, CIS.14; NIST-CSF: PR.DS-1; HIPAA: 164.312 (a) (2) (iv), 164.312 (e) (2) (ii); PCI: 3.4.8.2.1; |
| ams-nist-cis-elasticache- -controlla redis-cluster-automatic-backup | ElastiCache | Periodic (Periodico) | Report | CIS: CIS.10; NIST-CSF: ID.BE-5, PR.DS-4, PR.IP-4, PR.PT-5, RC.RP-1; HIPAA: 164.308 (a) (7) (i), 164.308 (a) (7) (a) (7) (a) (7) (a) (7) (i), PCI: NA; |
| ams-nist-cis-opensearch-encrypted-at-rest | OpenSearch | Periodic (Periodico) | Report | CIS: CIS.14, CIS.13; NIST-CSF: PR.DS-1; HIPAA: 164.312 (a) (2) (iv), 164.312 (e) (2) (ii); PCI: 3.4.8.2.1; |
| ams-nist-cis-opensearch-in-vpc-only | OpenSearch | Periodic (Periodico) | Report | CIS: CIS.13, CIS.14; NIST-CSF: PR.DS-1; HIPAA: 164.312 (a) (2) (iv), 164.312 (e) (2) (ii); PCI: 3.4.8.2.1; |
| ams-nist-cis-elb-acm-certificate-required | Certificate Manager | Modifiche alla configurazione | Report | CIS: CIS.12, CIS.9; NIST-CSF: PR.AC-3, PR.AC-4, PR.AC-5, PR.DS-5, PR.PT-3, PR.PT-4; HIPAA: 164.308 (a) (3) (i), 164.308 (a) (4) (ii) (A), 164.308 (a) (4) (ii) (C), 164.308 (a) (C) 312 (a) (1), 164,312 (e) (1); PCI: 1,2, 1,3, 1,2, 1,1, 3,1, 3,2, 3,4, 3,6, 2,2.2; |
| ams-nist-elb-deletion-abilitato alla protezione | ELB | Modifiche alla configurazione | Report | CIS: CIS.13, CIS.14; NIST-CSF: PR.DS-2; HIPAA: 164.312 (a) (2) (iv), 164.312 (e) (1), 164.312 (e) (2) (i), 164.312 (e) (2) (ii); PCI: 4.1.8.2.1; |
| ams-nist-cis-elb- abilitato alla registrazione | ELB | Modifiche alla configurazione | Report | CIS: CIS.6; NIST-CSF: DE.AE-1, DE.AE-3, PR.PT-1; HIPAA: 164.312 (b); PCI: 10.1,10.3.1,10.3.2,10.3.3,10.3.4,10.3.5,10.3.6,10.5.4; |
| ams-nist-cis-emr-abilitato per Kerberos | EMR | Periodic (Periodico) | Report | CIS: CIS.6; NIST-CSF: DE.AE-1, DE.AE-3, PR.PT-1; HIPAA: 164.312 (b); PCI: 10.1,10.3.1,10.3.2,10.3.3,10.3.4,10.3.5,10.3.6,10.5.4; |
| ams-nist-cis-emr-master-no-public-ip | EMR | Periodic (Periodico) | Report | CIS: CIS.14, CIS.16; NIST-CSF: PR.AC-1, PR.AC-4, PR.AC-6; HIPAA: 164,308 (a) (3) (i), 164.308 (a) (a) (3) (ii) (A), 164.308 (a) (3) (ii) (B), 164.308 (a) (4) (i), 164.308 (a), 164.308 (a), 164.308 (a), 164.308 (a), 164.308 (a), 164.308 (a) (4) (ii) (A), 164.308 (a) (4) (ii) (B), 164.308 (a) (4) (ii) (C), 164.312 (a) (1); PCI: 7.2.1; |
| ams-nist-cis-encrypted-volumi | EBS | Modifiche alla configurazione | Report | CIS: CIS.12, CIS.9; NIST-CSF: PR.AC-3, PR.AC-4, PR.AC-5, PR.PT-3, PR.PT-4; HIPAA: 164.308 (a) (3) (i), 164.308 (a) (4) (ii) (A), 164.308 (a) (4) (ii) (C), 164.312 (a) (a) (a) 1), 164,312 (e) (1); PCI: 1,2, 1,3, 2,1, 3,1, 3,2, 3,4, 3,6, 2,2.2; |
| ams-nist-cis-guardduty-non-archived-findings | GuardDuty | Periodic (Periodico) | Report | CIS: CIS.12, CIS.13, CIS.16, CIS.19, CIS.3, CIS.4, CIS.6, CIS.8; NIST-CSF: DE.AE-2, DE.AE-3, DE.CM-4, DE.DP-5, ID.RA-1, ID.RA-3, PR.DS-5, PR.PT-1; HIPAA: 164.308 (a) (5) (ii) (C), 164.308 (a) (6) (ii), 164.312 (b); PCI: 6.1,11.4,5.1.2; |
| ams-nist-iam-group-has-users-check | IAM | Modifiche alla configurazione | Report | CIS: NA; NIST-CSF: PR.AC-4, PR.AC-1; HIPAA: 164,308 (a) (3) (i), 164.308 (a) (3) (ii) (A) ,164,308 (a) (3) (ii) (B) ,164308 (a) (4) (i), 164.308 (a) (4) (ii) (A), 164.308 (a) (A), 164.308 (a), 164.308 (a) (a), 164.308 (a) (A), 164.308 (a) 308 (a) (4) (ii) (B), 164.308 (a) (4) (ii) (C), 164,312 (a) (1); PCI: 7.1.2,7.1.3, 7.2.1,7.2.2; |
| ams-nist-cis-iam- policy-no-statements-with -accesso amministrativo | IAM | Modifiche alla configurazione | Report | CIS: CIS.16; NIST-CSF: PR.AC-6, PR.AC-7; HIPAA: 164,308 (a) (4) (ii) (B), 164.308 (a) (5) (ii) (D), 164.312 (d); PCI: 8.2.3, 8.2.4,8.2.5; |
| ams-nist-cis-iam-user-group-membership-check | IAM | Modifiche alla configurazione | Report | CIS: CIS.16, CIS.4; NIST-CSF: PR.AC-1, PR.AC-4, PR.PT-3; HIPAA: 164,308 (a) (3) (i), 164.308 (a) (4) (ii) (A) ,164,308 (a) (4) (ii) (B), 164.308 (a) (4) (ii) (C), 164.308 (a) (4) (c), 164.308 (a) (a) (4) (c), 164.308 (a) 12 (a) (1), 164,312 (a) (2) (i); PCI: 2,2,7.1.2,7.2.1,8.1.1; |
| ams-nist-cis-iam-user-no-policies-check | IAM | Modifiche alla configurazione | Report | CIS: CIS.16; NIST-CSF: PR.AC-1, PR.AC-7; HIPAA: 164,308 (a) (4) (ii) (B), 164.312 (d); PCI: 8.3; |
| ams-nist-cis-iam-user-unused-credentials-check | IAM | Periodic (Periodico) | Report | CIS: CIS.16; NIST-CSF: PR.AC-1, PR.AC-4, PR.PT-3; HIPAA: 164,308 (a) (3) (i), 164.308 (a) (3) (ii) (A), 164.308 (a) (3) (ii) (B) ,164308 (a) (4) (i), 164.308 (a) (4) (a) (4) ii) (A), 164.308 (a) (4) (ii) (B), 164.308 (a) (4) (ii) (C), 164,312 (a) (1); PCI: 2,2,7.1.2,7.1.3,7.2.1,7.2.2; |
| ams-nist-cis-ec2- instances-in-vpc | EC2 | Modifiche alla configurazione | Report | CIS: CIS.11, CIS.12, CIS.9; NIST-CSF: DE.AE-1, PR.AC-3, PR.AC-5, PR.PT-4; HIPAA: 164.308 (a) (3) (i), 164.308 (a) (3) (ii) (B), 164.308 (a) (i), 164.308 (a) (4) (a) (4) ii) (A), 164.308 (a) (4) (ii) (B), 164.308 (a) (4) (ii) (C) ,164,312 (a) (1) ,164.312 (e) (1); PCI: 1,2, 3,2,2, 2,1, 2,1, 3,1, 3,1, 3,1, 3,2, 3,2, 2,2.2; |
| ams-nist-cis-internet-gateway-authorized-vpc-only | Internet Gateway | Periodic (Periodico) | Report | CIS: CIS.9, CIS.12; NIST-CSF: NA; HIPAA: NA; PCI: NA; |
| ams-nist-cis-kms- -cancellazione cmk-not-scheduled-for | KMS | Periodic (Periodico) | Report | CIS: CIS.13, CIS.14; NIST-CSF: PR.DS-1; HIPAA: NA; PCI: 3,5, 3,6; |
| ams-nist-lambda-concurrency-controlla | Lambda | Modifiche alla configurazione | Report | CIS: NA; NIST-CSF: NA; HIPAA: 164.312b; PCI: NA; |
| ams-nist-lambda-dlq-controlla | Lambda | Modifiche alla configurazione | Report | CIS: NA; NIST-CSF: NA; HIPAA: 164.312b; PCI: NA; |
| ams-nist-cis-lambda-function-public-access-prohibited | Lambda | Modifiche alla configurazione | Report | CIS: CIS.12, CIS.9; NIST-CSF: PR.AC-3, PR.AC-4, PR.AC-5, PR.DS-5, PR.PT-3, PR.PT-4; HIPAA: 164.308 (a) (3) (i), 164.308 (a) (4) (ii) (A), 164.308 (a) (4) (ii) (C), 164.308 (a) (C) 312 (a) (1), 164,312 (e) (1); PCI: 1,2, 1,3, 1,2, 1,1, 3,1, 3,2, 3,4, 2,2.2; |
| ams-nist-cis-lambda-interno in vpc | Lambda | Modifiche alla configurazione | Report | CIS: CIS.12, CIS.9; NIST-CSF: PR.AC-3, PR.AC-4, PR.AC-5, PR.PT-3, PR.PT-4; HIPAA: 164.308 (a) (3) (i), 164.308 (a) (4) (ii) (A), 164.308 (a) (4) (ii) (C), 164.312 (a) (a) (a) 1), 164,312 (e) (1); PCI: 1,2, 1,3, 2,1, 3,1, 3,2, 3,4, 2,2,2; |
| ams-nist-cis-mfa- enabled-for-iam-console -accesso | IAM | Periodic (Periodico) | Report | CIS: CIS.16; NIST-CSF: PR.AC-7; HIPAA: 164.312 (d); PCI: 2.2,8.3; |
| ams-nist-cis-multi-region-cloudtrail-enabled | CloudTrail | Periodic (Periodico) | Report | CIS: CIS.6; NIST-CSF: DE.AE-1, DE.AE-3, PR.DS-5, PR.MA-2, PR.PT-1; HIPAA: 164.308 (a) (3) (ii) (A) ,164.312 (b); PCI: 2.2,10.1.0.2.1,10.2.2,10.2.2,10.2.2,10.2.3,10.2.3,10.2.3,10.2.2,10.2.3,10.2.3,10.2.4,10.2.2.2,10.2.3,10.2.3,10.2.3,10.2.4,10.2.2.3,10.2.2,10.2.3,10.2.3,10.2.3,10.2.3,10.2.4,10.2.2,10.2.2,10.2.3,10.2.3,10.2.4,10.2.2.6,10,2,7,10,3,10,3,2,10,3,3,10,3,4,10,0,3,5,10,0,3,6; |
| ams-nist-rds-enhanced-abilitato al monitoraggio | RDS | Modifiche alla configurazione | Report | CIS: NA; NIST-CSF: PR.PT-1; HIPAA: 164.312b; PCI: NA; |
| ams-nist-cis-rds-instance-public-access-check | RDS | Modifiche alla configurazione | Report | CIS: CIS.12, CIS.14, CIS.9; NIST-CSF: PR.AC-3, PR.AC-4, PR.AC-5, PR.DS-5, PR.PT-3, PR.PT-4; HIPAA: 164.308 (a) (3) (i), 164.308 (a) (i) (4) (ii) (A), 164.308 (a) (4) (ii) C), 164,312 (a) (1), 164,312 (e) (1); PCI: 1,2,1,3,1.2.1,1.3.2,1.3.3,4,1.3.6,2.2.2; |
| ams-nist-rds-multi-az-supporto | RDS | Modifiche alla configurazione | Report | CIS: NA; NIST-CSF: ID.BE-5, PR.DS-4, PR.PT-5, RC.RP-1; HIPAA: 164,308 (a) (7) (i), 164.308 (a) (7) (a) (7) (7) (ii) (C); PCI: NA; |
| ams-nist-cis-rds-snapshots-public-prohibited | RDS | Modifiche alla configurazione | Report | CIS: CIS.12, CIS.14, CIS.9; NIST-CSF: PR.AC-3, PR.AC-4, PR.AC-5, PR.DS-5, PR.PT-3, PR.PT-4; HIPAA: 164.308 (a) (3) (i), 164.308 (a) (i) (4) (ii) (A), 164.308 (a) (4) (ii) C), 164,312 (a) (1), 164,312 (e) (1); PCI: 1,2,1,3,1.2.1,1.3.2,1.3.3,4,1.3.6,2.2.2; |
| ams-nist-cis-rds-archiviazione crittografata | RDS | Modifiche alla configurazione | Report | CIS: CIS.13, CIS.5, CIS.6; NIST-CSF: DE.AE-1, DE.AE-3, PR.DS-1, PR.PT-1; HIPAA: 164.312 (a) (2) (iv), 164.312 (b), 164.312 (e) (2) (ii); PCI: 3.4,10.1.10.2.1,10.2,2 10,2,3,10.2,4,10.2,5,10.3.1,10.3,2,10.3.3,10.3,4,10.3,5,10.3,68.2,1; |
| ams-nist-cis-redshift-cluster-configuration-check | RedShift | Modifiche alla configurazione | Report | CIS: CIS.6, CIS.13, CIS.5; NIST-CSF: DE.AE-1, DE.AE-3, PR.DS-1, PR.PT-1; HIPAA: 164.312 (a) (2) (iv), 164.312 (b), 164.312 (e) (2) (ii); PCI: 3.4,8.2.1,10.1,10.2.1,10.2.1,10.2.1 2,2,10,2,3,10.2,4,10.2,5,10.3,10.3,2,10.3.3,10.3,4,10.3,5,10.3.6; |
| ams-nist-cis-redshift-cluster-public-access-check | RedShift | Modifiche alla configurazione | Report | CIS: CIS.12, CIS.14, CIS.9; NIST-CSF: PR.AC-3, PR.AC-4, PR.AC-5, PR.DS-5, PR.PT-3, PR.PT-4; HIPAA: 164.308 (a) (3) (i), 164.308 (a) (i) (4) (ii) (A), 164.308 (a) (4) (ii) C), 164,312 (a) (1), 164,312 (e) (1); PCI: 1,2,1,3,1.2.1,1.3.2,1.3.3,4,1.3.6,2.2.2; |
| ams-nist-cis-redshift-require-tls-ssl | RedShift | Periodic (Periodico) | Report | CIS: CIS.13, CIS.14; NIST-CSF: PR.DS-2; HIPAA: 164.312 (a) (2) (iv), 164.312 (e) (1), 164.312 (e) (2) (i), 164.312 (e) (2) (ii); PCI: 2.3.4.1; |
| ams-nist-cis-root-account-hardware-mfa-enabled | IAM | Periodic (Periodico) | Report | CIS: CIS.16, CIS.4; NIST-CSF: PR.AC-7; HIPAA: 164,312 (d); PCI: 2,2,8,3; |
| ams-nist-cis-root-account-mfa-enabled | IAM | Periodic (Periodico) | Report | CIS : CIS.16, CIS.4; NIST-CSF: PR.AC-7; HIPAA: 164.312 (d); PCI: 2.2,8.3; |
| ams-nist-cis-s3- bucket-default-lock-enabled | S3 | Modifiche alla configurazione | Report | CIS: CIS.14, CIS.13; NIST-CSF: ID.BE-5, PR.PT-5, RC.RP-1; HIPAA: NA; PCI: NA; |
| ams-nist-cis-s3- bucket-logging-enabled | S3 | Modifiche alla configurazione | Report | CIS: CIS.6; NIST-CSF: DE.AE-1, DE.AE-3, PR.DS-5, PR.PT-1; HIPAA: 164,308 (a) (3) (ii) (A) ,164.312 (b); PCI: 2,2,10.1,10.2.2,10.2.2,10.2.3,10.2.3,10.2.4,10.2.5,10.2.3,10.2.4,10.2.5,10.2.3,10.2.4,10.2.5 0,3,2,10,3,3,10,3,4,10,3,5,10,3,6; |
| ams-nist-cis-s3- bucket-replication-enabled | S3 | Modifiche alla configurazione | Report | CIS: CIS.10; NIST-CSF: ID.BE-5, PR.DS-4, PR.IP-4, PR.PT-5, RC.RP-1; HIPAA: 164,308 (a) (7) (i), 164.308 (a) (7) (a) (7) (7) (a) (7) (b); PCI: 2.2, 10.5.3; |
| ams-nist-cis-s3- bucket-ssl-requests-only | S3 | Modifiche alla configurazione | Report | CIS: CIS.13, CIS.14; NIST-CSF: PR.DS-2; HIPAA: 164.312 (a) (2) (iv), 164.312 (c) (2) ,164.312 (e) (1) ,164.312 (e) (2) (i), 164.312 (e) (2) (ii); PCI: 2.2,4.1.8.2.1; |
| ams-nist-cis-s3- bucket-versioning-enabled | S3 | Periodic (Periodico) | Report | CIS: CIS.10; NIST-CSF: ID.BE-5, PR.DS-4, PR.DS-6, PR.IP-4, PR.PT-5, RC.RP-1; HIPAA: 164.308 (a) (7) (i), 164.308 (a) (7) (a) (7) (7) (a) (7) (a), 164.312 (c) (1), 164.312 (c) (2); PCI: 10.5.3; |
| ams-nist-cis-sagemaker- endpoint-configuration-kms-key -configurato | SageMaker | Periodic (Periodico) | Report | CIS: CIS.13, CIS.14; NIST-CSF: PR.DS-1; HIPAA: 164.312 (a) (2) (iv), 164.312 (e) (2) (ii); PCI: 3.4.8.2.1; |
| ams-nist-cis-sagemaker- -configurato notebook-instance-kms-key | SageMaker | Periodic (Periodico) | Report | CIS: CIS.13, CIS.14; NIST-CSF: PR.DS-1; HIPAA: 164.312 (a) (2) (iv), 164.312 (e) (2) (ii); PCI: 3.4.8.2.1; |
| ams-nist-cis-sagemaker- -accesso notebook-no-direct-internet | SageMaker | Periodic (Periodico) | Report | CIS: CIS.12, CIS.9; NIST-CSF: PR.AC-3, PR.AC-4, PR.AC-5, PR.DS-5, PR.PT-3, PR.PT-4; HIPAA: 164.308 (a) (3) (i), 164.308 (a) (4) (ii) (A), 164.308 (a) (4) (ii) (C), 164.308 (a) (C) 312 (a) (1), 164,312 (e) (1); PCI: 1,2, 1,3, 1,2, 1,1, 3,1, 3,2, 3,4, 3,6, 2,2.2; |
| ams-nist-cis-secretsmanager-rotation-enabled-check | Secrets Manager | Modifiche alla configurazione | Report | CIS: CIS.16; NIST-CSF: PR.AC-1; HIPAA: 164,308 (a) (4) (ii) (B); PCI: NA; |
| ams-nist-cis-secretsmanager-scheduled-rotation-success-check | Secrets Manager | Modifiche alla configurazione | Report | CIS: CIS.16; NIST-CSF: PR.AC-1; HIPAA: 164,308 (a) (4) (ii) (B); PCI: NA; |
| ams-nist-cis-sns-kms crittografati | SNS | Modifiche alla configurazione | Report | CIS: CIS.13, CIS.14; NIST-CSF: PR.DS-1; HIPAA: 164,312 (a) (2) (iv), 164.312 (e) (2) (ii); PCI: 8.2.1; |
| ams-nist-cis-vpc- -porte autorizzate sg-open-only-to | VPC | Modifiche alla configurazione | Report | CIS: CIS.11, CIS.12, CIS.9; NIST-CSF: DE.AE-1, PR.AC-3, PR.AC-5, PR.PT-4; HIPAA: 164.312e) (1); PCI: 1,2, 1,3, 2.1,1.3.1,1.3.1,1.3.2,2.2.2; |
| ams-nist-vpc-vpn-2 tunnel in su | VPC | Modifiche alla configurazione | Report | CIS: NA; NIST-CSF: ID.BE-5, PR.DS-4, PR.PT-5, RC.RP-1; HIPAA: 164,308 (a) (7) (i); PCI: NA; |
| ams-cis-ec2- ebs-encryption-by-default | EC2 | Periodic (Periodico) | Report | CIS: CIS.13, CIS.14; NIST-CSF: PR.DS-1; HIPAA: 164.312 (a) (2) (iv), 164.312 (e) (2) (ii); PCI: 2,2,3.4,8.2.1; |
| ams-cis-rds-snapshot-crittografato | RDS | Modifiche alla configurazione | Report | CIS: CIS.13, CIS.14; NIST-CSF: PR.DS-1; HIPAA: 164.312 (a) (2) (iv), 164.312 (e) (2) (ii); PCI: 3.4.8.2.1; |
| ams-cis-redshift-cluster- impostazioni di manutenzione - controllo | RedShift | Modifiche alla configurazione | Report | CIS: CIS.5; NIST-CSF: PR.DS-4, PR.IP-1, PR.IP-4; HIPAA: 164,308 (a) (5) (ii) (A), 164.308 (a) (7) (ii) (A); PCI: 6.2; |
Risposte alle violazioni in Accelerate
Tutte le violazioni delle regole di configurazione vengono visualizzate nel rapporto di configurazione. Questa è una risposta universale. A seconda della categoria di riparazione (gravità) della regola, AMS potrebbe intraprendere azioni aggiuntive, riassunte nella tabella seguente. Per informazioni dettagliate su come personalizzare il codice d'azione per determinate regole, consulta. Risposte personalizzate ai risultati
Azioni di riparazione
| Codice d'azione | Azioni AMS |
|---|---|
| Report | |
| Incidente | |
| Rimediare |
Richiesta di assistenza aggiuntiva
Nota
AMS può porre rimedio a qualsiasi violazione per te, indipendentemente dalla categoria di riparazione. Per richiedere assistenza, invia una richiesta di assistenza e indica a quali risorse desideri che AMS risolva con un commento del tipo «Come parte della correzione delle regole di configurazione AMS, rimediate la RESOURCE_ARNS_OR_IDs risorsa ARNs/IDs>, config rule CONFIG_RULE_NAME in the account» e aggiungi gli input necessari per porre rimedio alla violazione.
AMS Accelerate dispone di una libreria di documenti e runbook di AWS Systems Manager automazione per aiutare a correggere le risorse non conformi.
Aggiungi al rapporto di Config
AMS genera un rapporto di Config che tiene traccia dello stato di conformità di tutte le regole e le risorse del tuo account. Puoi richiedere il rapporto dal tuo CSDM. Puoi anche esaminare lo stato di conformità dalla console AWS Config AWS , dalla CLI o dall'API Config. AWS Il tuo rapporto di Config include:
Le principali risorse non conformi presenti nel tuo ambiente, per scoprire potenziali minacce e configurazioni errate
Conformità delle risorse e delle regole di configurazione nel tempo
Descrizioni delle regole di configurazione, severità delle regole e procedure correttive consigliate per correggere le risorse non conformi
Quando una risorsa entra in uno stato non conforme, lo stato della risorsa (e lo stato della regola) diventa Non conforme nel rapporto di Config. Se la regola appartiene alla categoria di correzione Config Report Only, per impostazione predefinita, AMS non intraprende ulteriori azioni. Puoi sempre creare una richiesta di assistenza per richiedere ulteriore assistenza o riparazione da AMS.
Per maggiori dettagli, consulta AWS Config Reporting.
Rapporto automatico sugli incidenti in Accelerate
In caso di violazioni delle regole moderatamente gravi, AMS crea automaticamente un rapporto sugli incidenti per informarti che una risorsa è entrata in uno stato di non conformità e chiede quali azioni desideri che vengano eseguite. Hai le seguenti opzioni per rispondere a un incidente:
Richiedi che AMS risolva le risorse non conformi elencate nell'incidente. Quindi, cercheremo di porre rimedio alla risorsa non conforme e ti avviseremo una volta risolto l'incidente sottostante.
Puoi risolvere l'elemento non conforme manualmente nella console o tramite il tuo sistema di distribuzione automatizzato (ad esempio, aggiornamenti del modello CI/CD Pipeline); quindi, puoi risolvere l'incidente. La risorsa non conforme viene rivalutata secondo la pianificazione della regola e, se la risorsa viene valutata come non conforme, viene creato un nuovo rapporto sull'incidente.
È possibile scegliere di non risolvere la risorsa non conforme e risolvere semplicemente l'incidente. Se aggiorni la configurazione della risorsa in un secondo momento, AWS Config attiverà una nuova valutazione e verrai nuovamente avvisato per valutare la non conformità di quella risorsa.
Correzione automatica in Accelerate
Le regole più importanti appartengono alla categoria Auto Remediate. L'inosservanza di queste regole può avere un forte impatto sulla sicurezza e sulla disponibilità degli account. Quando una risorsa viola una di queste regole:
AMS ti avvisa automaticamente con un rapporto sull'incidente.
AMS avvia una riparazione automatica utilizzando i nostri documenti SSM automatizzati.
AMS aggiorna il rapporto sull'incidente indicando l'esito positivo o negativo della riparazione automatica.
Se la riparazione automatica non è riuscita, un tecnico AMS esamina il problema.
Creazione di eccezioni alle regole in Accelerate
La funzionalità di eccezione Regole di AWS Config delle risorse consente di eliminare la segnalazione di risorse specifiche e non conformi per regole specifiche.
Nota
Le risorse esentate vengono ancora visualizzate come Non conformi nella console di AWS Config Service. Le risorse esentate vengono visualizzate con un flag speciale nei Config Reports (Resource_Exception:TRUE). CSDMs Puoi filtrare tali risorse in base a quella colonna durante la generazione dei report.
Se disponi di risorse che sai non sono conformi, puoi eliminare una risorsa specifica per una regola di configurazione specifica nei relativi report di configurazione. Per farlo:
Invia una richiesta di servizio ad Accelerate relativa al tuo account, con un elenco delle regole e delle risorse di configurazione che desideri escludere dal rapporto. Devi fornire una giustificazione aziendale esplicita (ad esempio, non è necessario segnalarlo resource_name_1 e resource_name_2 non è stato eseguito il backup perché non vogliamo che venga eseguito il backup). Per assistenza nell'invio di una richiesta di assistenza Accelerate, consulta. Creazione di una richiesta di servizio in Accelerate
Incolla nella richiesta i seguenti input (per ogni risorsa aggiungi un blocco separato con tutti i campi obbligatori, come mostrato), quindi invia:
[ { "resource_name": "resource_name_1", "config_rule_name": "config_rule_name_1", "business_justification": "REASON_TO_EXEMPT_RESOURCE", "resource_type": "resource_type" }, { "resource_name": "resource_name_2", "config_rule_name": "config_rule_name_2", "business_justification": "REASON_TO_EXEMPT_RESOURCE", "resource_type": "resource_type" } ]
Ridurre i AWS Config costi in Accelerate
Puoi ridurre i costi di AWS Config utilizzando l'opzione per registrare periodicamente il tipo di AWS::EC2::Instance risorsa. La registrazione periodica acquisisce le ultime modifiche alla configurazione delle risorse una volta ogni 24 ore, riducendo il numero di modifiche apportate. Se abilitata, registra AWS Config solo la configurazione più recente di una risorsa alla fine di un periodo di 24 ore. Ciò consente di adattare i dati di configurazione a specifici casi d'uso di pianificazione operativa, conformità e audit che non richiedono un monitoraggio continuo. Questa modifica è consigliata solo se disponi di applicazioni che dipendono da architetture temporanee, il che significa che aumenti o riduci costantemente il numero di istanze.
Per attivare la registrazione periodica per il tipo di AWS::EC2::Instance risorsa, contattate il vostro team di consegna AMS.
