Modifiche che introducono rischi di sicurezza elevati o molto elevati nell'ambiente

High_risk-IAM-001: crea chiavi di accesso per l'account root

high_risk-IAM-002: modifica della politica SCP per consentire accessi aggiuntivi

high_risk-IAM-003: modifica della politica SCP che potrebbe compromettere l'infrastruttura AMS

high_risk-IAM-004: creazione di un file role/user con infrastruttura che modifica le autorizzazioni (scrittura, gestione delle autorizzazioni o etichettatura) nell'account del cliente

high_risk-IAM-005: IAM gestisce le politiche di trust tra account AMS e account di terze parti (non di proprietà del cliente)

high_risk-IAM-006: politiche interaccount per accedere a qualsiasi chiave KMS da un account AMS tramite un account di terze parti)

high_risk-IAM-007: politiche tra account di terze parti per accedere al bucket S3 di un cliente AMS o a risorse in cui è possibile archiviare i dati (come Amazon RDS, Amazon DynamoDB o Amazon Redshift)

high_risk-IAM-008: assegna le autorizzazioni IAM a qualsiasi autorizzazione che modifichi l'infrastruttura nell'account del cliente

high_risk-IAM-009: consenti l'elenco e la lettura su tutti i bucket S3 dell'account

high_risk-IAM-010: read/write provisioning IAM automatizzato con autorizzazioni

High_risk-NET-001: porte di gestione del sistema operativo aperte SSH/22 o SSH/2222 (non SFTP/2222), TELNET/23, RDP/3389, WinRM/5985-5986, VNC/ 5900-5901 TS/CITRIX/1494 o 1604, LDAP/389 o 636 e NETBIOS/137-139 da Internet

High_risk-NET-002: porte di gestione del database aperte MySQL/3306, PostgreSQL/5432, Oracle/1521, MSSQL/1433 o qualsiasi porta cliente di gestione da Internet

High_risk-net-003: apri le porte applicative HTTP/80, HTTPS/8443 e HTTPS/443 direttamente su qualsiasi risorsa di calcolo. Ad esempio, EC2 ECS/EKS/Fargate istanze, contenitori e così via da Internet

High_risk-net-004: qualsiasi modifica ai gruppi di sicurezza che controllano l'accesso all'infrastruttura AMS

High_risk-net-006: peering VPC con l'account di terze parti (non di proprietà del cliente)

High_risk-net-007: aggiunta del firewall del cliente come punto di uscita per tutto il traffico AMS

High_risk-NET-008: l'allegato Transit Gateway con l'account di terze parti non è consentito

High_Risk-S3-001: fornisce o abilita l'accesso pubblico nel bucket S3

CloudTrailHigh_risk-log-001: disabilita. (È richiesta l'approvazione di Ops Site Manager)

High_risk-log-002: disabilita i registri di flusso VPC. (È richiesta l'approvazione di Ops Site Manager)

High_risk-log-003: inoltro dei log tramite qualsiasi metodo (notifica di eventi S3, pull dell'agente SIEM, push dell'agente SIEM, ecc.) da un account gestito da AMS a un account di terze parti (non di proprietà del cliente)

High_risk-log-004: utilizza percorsi non AMS per CloudTrail

High_risk-host-001: disabilita End Point Security nell'account per qualsiasi motivo. (È richiesta l'approvazione di Ops Site Manager)

High_risk-host-002: disabilita l'applicazione di patch in una risorsa o a livello di account.

High_risk-host-003: distribuzione di un'istanza non gestita nell'account. EC2

High_risk-host-004: esecuzione di uno script personalizzato fornito dal cliente.

High_risk-host-005: creazione di account di amministratore locale sulle istanze.

High_risk-host-006: tipo/estensione di file Trend Micro EPS, esclusioni dalla scansione o disattivazione della protezione da malware sugli endpoint.

High_risk-host-007: Crea per KeyPair EC2

High_risk-host-008: disabilita la sicurezza degli endpoint nel EC2

High_risk-host-009: account che utilizzano il sistema operativo End of Life (EOL)

High_risk-ENC-001: disabilita la crittografia in qualsiasi risorsa se è abilitata

High_risk-AD-001: Fornisci i diritti di amministratore all'utente o al gruppo Active Director

High_risk-AD-002: politiche GPO in grado di ridurre il livello di sicurezza dell'account