Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Limita i privilegi amministrativi
****
- **Le richieste di accesso privilegiato a sistemi e applicazioni vengono convalidate alla prima richiesta.**
- **Guida all’implementazione:** [Tema 4: Gestire le identità](theme-4.md): implementa la federazione delle identità
- **AWS risorse:** [Richiedi agli utenti umani di effettuare la federazione con un provider di identità per accedere AWS utilizzando credenziali temporanee](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source.html)
- **AWS Guida Well-Architected:** [SEC02- BP04 Affidati a un provider di identità centralizzato](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_identity_provider.html)
[SEC03- BP01 Definisci i requisiti di accesso](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_define.html)
- **L'accesso privilegiato a sistemi e applicazioni viene automaticamente disabilitato dopo 12 mesi, a meno che non venga riconvalidato.**
- **Guida all’implementazione:** [Tema 4: Gestire le identità](theme-4.md): implementa la federazione delle identità / **AWS risorse:** [Richiedi agli utenti umani di effettuare la federazione con un provider di identità per accedere AWS utilizzando credenziali temporanee](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source.html) / **AWS Guida Well-Architected:** [SEC02- BP04 Affidati a un provider di identità centralizzato](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_identity_provider.html)
- **Guida all’implementazione:** [Tema 4: Gestire le identità](theme-4.md): Ruota le credenziali / **AWS risorse:** [Richiedi ai carichi di lavoro di utilizzare i ruoli IAM per accedere AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)
[Automatizza l'eliminazione dei ruoli IAM non utilizzati](https://aws.amazon.com/blogs/security/how-to-centralize-findings-and-automate-deletion-for-unused-iam-roles/)
[Ruota regolarmente le chiavi di accesso per i casi d'uso che richiedono credenziali a lungo termine](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/automatically-rotate-iam-user-access-keys-at-scale-with-aws-organizations-and-aws-secrets-manager.html)
[AWS Summit ANZ 2023: il tuo percorso verso le credenziali temporanee nel cloud](https://www.youtube.com/watch?v=jZnh9U-TA6Q) (video) YouTube / **AWS Guida Well-Architected:** [SEC02- BP05 Controlla e ruota periodicamente le credenziali](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_audit.html)
- **L'accesso privilegiato a sistemi e applicazioni viene disattivato automaticamente dopo 45 giorni di inattività.**
- **Guida all’implementazione:** [Tema 4: Gestire le identità](theme-4.md): implementa la federazione delle identità
[Tema 4: Gestire le identità](theme-4.md): Ruota le credenziali
- **AWS risorse:** [Richiedi agli utenti umani di unirsi a un provider di identità per accedere AWS utilizzando credenziali temporanee](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source.html)
[Richiedi ai carichi di lavoro di utilizzare i ruoli IAM per accedere AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)
[Automatizza l'eliminazione dei ruoli IAM non utilizzati](https://aws.amazon.com/blogs/security/how-to-centralize-findings-and-automate-deletion-for-unused-iam-roles/)
[Ruota regolarmente le chiavi di accesso per i casi d'uso che richiedono credenziali a lungo termine](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/automatically-rotate-iam-user-access-keys-at-scale-with-aws-organizations-and-aws-secrets-manager.html)
[AWS Summit ANZ 2023: il tuo percorso verso le credenziali temporanee nel cloud](https://www.youtube.com/watch?v=jZnh9U-TA6Q) (video) YouTube
- **AWS Guida Well-Architected:** [SEC02- BP04 Affidati a un provider di identità centralizzato](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_identity_provider.html)
[SEC02- BP05 Controlla e ruota periodicamente le credenziali](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_audit.html)
- **L'accesso privilegiato ai sistemi e alle applicazioni è limitato solo a ciò che è necessario agli utenti e ai servizi per svolgere i propri compiti.**
- **Guida all’implementazione:** [Tema 4: Gestire le identità](theme-4.md): Applica le autorizzazioni con privilegi minimi
- **AWS risorse:** [Proteggi le credenziali dell'utente root e non utilizzarle per le attività quotidiane](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html)
[Utilizza IAM Access Analyzer per generare politiche con privilegi minimi basate sull'attività di accesso](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/dynamically-generate-an-iam-policy-with-iam-access-analyzer-by-using-step-functions.html)
[Verifica l'accesso pubblico e tra account alle risorse con IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-getting-started.html)
[Utilizza IAM Access Analyzer per convalidare le tue policy IAM per autorizzazioni sicure e funzionali](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)
[Stabilisci barriere di autorizzazione su più account](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/organizations.html)
[Utilizza i limiti delle autorizzazioni per impostare le autorizzazioni massime che una politica basata sull'identità può concedere](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)
[Utilizza le condizioni nelle policy IAM per limitare ulteriormente l'accesso](https://aws.amazon.com/blogs/apn/top-recommendations-for-working-with-iam-from-our-aws-heroes-part-3-permissions-boundaries-and-conditions/)
[Esamina e rimuovi regolarmente utenti, ruoli, autorizzazioni, politiche e credenziali non utilizzati](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_last-accessed.html)
[Inizia con le politiche AWS gestite e passa alle autorizzazioni con privilegi minimi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)
[Utilizza la funzionalità dei set di autorizzazioni in IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html)
- **AWS Guida Well-Architected:** [SEC01- Proprietà e utente root dell'account BP02 sicuri](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_securely_operate_aws_account.html)
[SEC03- BP02 Concedi l'accesso con il minimo privilegio](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_least_privileges.html)
- **Agli account privilegiati viene impedito l'accesso a Internet, alla posta elettronica e ai servizi web.**
- **Guida all’implementazione:** Vedi [Esempio tecnico: limitazione dei privilegi amministrativi](https://www.cyber.gov.au/resources-business-and-government/essential-cyber-security/small-business-cyber-security/small-business-cloud-security-guide/technical-example-restrict-administrative-privileges) (sito web ACSC)
- **AWS risorse:** Prendi in considerazione l'implementazione di un SCP che [impedisca a qualsiasi VPC che non dispone già di accesso a Internet](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_vpc.html#example_vpc_2) di accedervi
- **AWS Guida Well-Architected:** Non applicabile
- **Gli utenti privilegiati utilizzano ambienti operativi separati, privilegiati e non privilegiati.**
- **Guida all’implementazione:** [Tema 5: Stabilire un perimetro di dati](theme-5.md)
- **AWS risorse:** [Stabilisci un perimetro di dati.](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/building-a-data-perimeter-on-aws.html) Prendi in considerazione l'implementazione di perimetri di dati tra ambienti con diverse classificazioni dei dati, ad esempio OFFICIAL:SENSITIVE oPROTECTED, o diversi livelli di rischio, come sviluppo, test o produzione.
- **AWS Guida Well-Architected:** [SEC06- BP03 Ridurre la gestione manuale e l'accesso interattivo](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_protect_compute_reduce_manual_management.html)
- **Gli ambienti operativi privilegiati non sono virtualizzati all'interno di ambienti operativi non privilegiati.**
- **Gli account non privilegiati non possono accedere ad ambienti operativi privilegiati.**
- **Gli account privilegiati (esclusi gli account di amministratore locale) non possono accedere ad ambienti operativi non privilegiati.**
- **Just-in-time l'amministrazione viene utilizzata per amministrare sistemi e applicazioni.**
- **Guida all’implementazione:** [Tema 4: Gestire le identità](theme-4.md): implementa la federazione delle identità
- **AWS risorse:** [Richiedi agli utenti umani di effettuare la federazione con un provider di identità per accedere AWS utilizzando credenziali temporanee](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source.html)
[Implementa un accesso temporaneo elevato ai tuoi AWS ambienti](https://aws.amazon.com/blogs/security/managing-temporary-elevated-access-to-your-aws-environment/) (AWS post sul blog)
- **AWS Guida Well-Architected:** [SEC02- BP04 Affidati a un provider di identità centralizzato](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_identity_provider.html)
- **Le attività amministrative vengono condotte tramite jump server.**
- **Guida all’implementazione:** [Tema 1: Utilizzare i servizi gestiti](theme-1.md)
[Tema 3: Gestisci l'infrastruttura mutabile con l'automazione](theme-3.md): Utilizza l'automazione anziché i processi manuali
- **AWS risorse:** Utilizza [Session Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager.html) o [Run Command](https://docs.aws.amazon.com/systems-manager/latest/userguide/run-command.html) anziché l'accesso diretto SSH o RDP
- **AWS Guida Well-Architected:** [SEC01- BP05 Ridurre l'ambito di gestione della sicurezza](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_securely_operate_reduce_management_scope.html)
[SEC06- BP03 Ridurre la gestione manuale e l'accesso interattivo](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_protect_compute_reduce_manual_management.html)
- **Le credenziali per gli account degli amministratori locali e gli account di servizio sono uniche, imprevedibili e gestite.**
- **Guida all’implementazione:** Vedi [Esempio tecnico: Limita i privilegi amministrativi](https://www.cyber.gov.au/resources-business-and-government/essential-cyber-security/small-business-cyber-security/small-business-cloud-security-guide/technical-example-restrict-administrative-privileges) (sito web ACSC)
- **AWS risorse:** Non applicabile
- **AWS Guida Well-Architected:** Non applicabile
- **Windows Defender Credential Guarde Windows Defender Remote Credential Guard sono abilitati.**
- **L'uso dell'accesso privilegiato viene registrato centralmente e protetto da modifiche ed eliminazioni non autorizzate, monitorato per rilevare eventuali segni di compromissione e intervenuto quando vengono rilevati eventi di sicurezza informatica.**
- **Guida all’implementazione:** [Tema 7: Centralizzare la registrazione e il monitoraggio](theme-7.md): Abilita la registrazione
[Tema 7: Centralizzare la registrazione e il monitoraggio](theme-7.md): Centralizza i log
- **AWS risorse:** [Usa CloudWatch Agent per pubblicare i log a livello di sistema operativo nei registri CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.html)
[Abilita per la tua organizzazione CloudTrail ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/creating-trail-organization.html)
[Centralizza CloudWatch i log in un account per il controllo e l'analisi (post](https://aws.amazon.com/blogs/architecture/stream-amazon-cloudwatch-logs-to-a-centralized-account-for-audit-and-analysis/) sul blog)AWS
[Gestione centralizzata di Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/managing-multiple-accounts.html)
[Gestione centralizzata del Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/designate-orgs-admin-account.html)
[Crea un aggregatore a livello di organizzazione in (post del blog](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/creating-trail-organization.html)) AWS ConfigAWS
[Centralizza la gestione di GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html)
[Prendi in considerazione l'utilizzo di Amazon Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html)
[Ricevi CloudTrail log da più account](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
[Invia i registri a un account di archiviazione dei registri](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/security-ou-and-accounts.html#log-archive-account)
- **AWS Guida Well-Architected:** [SEC04- BP01 Configura la registrazione dei servizi e delle applicazioni](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_detect_investigate_events_app_service_logging.html)
[SEC04- BP02 Acquisisci registri, risultati e metriche in posizioni standardizzate](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_detect_investigate_events_logs.html)
- **Le modifiche agli account e ai gruppi privilegiati vengono registrate centralmente e protette da modifiche ed eliminazioni non autorizzate, monitorate per rilevare eventuali segni di compromissione e intervenute quando vengono rilevati eventi di sicurezza informatica.**