Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
AWSStandard di best practice di sicurezza di base in Security Hub CSPM
Sviluppato da AWS professionisti del settore, lo standard AWS Foundational Security Best Practices (FSBP) è una raccolta di best practice di sicurezza per le organizzazioni, indipendentemente dal settore o dalle dimensioni dell'organizzazione. Fornisce una serie di controlli che rilevano quando Account AWS e le risorse si discostano dalle migliori pratiche di sicurezza. Fornisce inoltre indicazioni prescrittive su come migliorare e mantenere il livello di sicurezza dell'organizzazione.
In AWS Security Hub CSPM, lo standard AWS Foundational Security Best Practices include controlli che valutano continuamente i tuoi carichi di lavoro Account AWS e ti aiutano a identificare le aree che si discostano dalle migliori pratiche di sicurezza. I controlli includono le migliori pratiche di sicurezza per risorse provenienti da più fonti. Servizi AWS A ogni controllo viene assegnata una categoria che riflette la funzione di sicurezza a cui si applica il controllo. Per un elenco di categorie e dettagli aggiuntivi, vedereCategorie di controllo.
Controlli che si applicano allo standard
L'elenco seguente specifica quali controlli CSPM AWS di Security Hub si applicano allo standard AWS Foundational Security Best Practices (v1.0.0). Per esaminare i dettagli di un controllo, scegli il controllo.
[Account.1] Le informazioni di contatto per la sicurezza devono essere fornite per unAccount AWS
[APIGateway.3] Le fasi API REST di API Gateway dovrebbero avereAWS X-Raytracciamento abilitato
[APIGateway.4] API Gateway deve essere associato a un ACL Web WAF
[APIGateway.8] Le rotte API Gateway devono specificare un tipo di autorizzazione
[APIGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages
[APIGateway.10] Le integrazioni API Gateway V2 devono utilizzare HTTPS per le connessioni private
[AppSync.1]AWS AppSyncLe cache delle API devono essere crittografate quando sono inattive
[AppSync.2]AWS AppSyncdovrebbe avere la registrazione a livello di campo abilitata
[AppSync.5]AWS AppSyncLe API GraphQL non devono essere autenticate con chiavi API
[AppSync.6]AWS AppSyncLe cache delle API devono essere crittografate in transito
[Athena.4] I gruppi di lavoro Athena dovrebbero avere la registrazione abilitata
[AutoScaling.2] Il gruppo Amazon EC2 Auto Scaling dovrebbe coprire più zone di disponibilità
[AutoScaling.9] I gruppi Amazon EC2 Auto Scaling devono utilizzare i modelli di lancio di Amazon EC2
[Backup.1]AWS Backupi punti di ripristino devono essere crittografati quando sono inattivi
[CloudFormation.4] gli CloudFormation stack devono avere ruoli di servizio associati
[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato
[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito
[CloudFront.4] le CloudFront distribuzioni dovrebbero avere il failover di origine configurato
[CloudFront.5] CloudFront le distribuzioni dovrebbero avere la registrazione abilitata
[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato
[CloudFront.7] CloudFront le distribuzioni devono utilizzare certificati personalizzati SSL/TLS
[CloudFront.8] CloudFront le distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS
[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti
[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine
[CloudTrail.2] CloudTrail dovrebbe avere la crittografia a riposo abilitata
[CloudTrail.4] la convalida dei file di CloudTrail registro dovrebbe essere abilitata
[CloudTrail.5] i CloudTrail trail devono essere integrati con Amazon CloudWatch Logs
[CodeBuild.3] I log CodeBuild S3 devono essere crittografati
[Cognito.2] I pool di identità di Cognito non dovrebbero consentire identità non autenticate
[Cognito.5] L'MFA deve essere abilitata per i pool di utenti di Cognito
[Cognito.6] I pool di utenti di Cognito devono avere la protezione dall'eliminazione abilitata
[Connect.2] Le istanze Connect Customer devono avere la CloudWatch registrazione abilitata
[DataSync.1] DataSync le attività dovrebbero avere la registrazione abilitata
[DMS.1] Le istanze di replica del Database Migration Service non devono essere pubbliche
[DMS.9] Gli endpoint DMS devono utilizzare SSL
[DMS.10] Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata
[DMS.11] Gli endpoint DMS per MongoDB dovrebbero avere un meccanismo di autenticazione abilitato
[DMS.12] Gli endpoint DMS per Redis OSS devono avere TLS abilitato
[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi
[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche
[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch
[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata
[DocumentDB.6] I cluster Amazon DocumentDB devono essere crittografati in transito
[DynamoDB.1] Le tabelle DynamoDB dovrebbero scalare automaticamente la capacità in base alla domanda
[DynamoDB.2] Le tabelle DynamoDB dovrebbero avere il ripristino point-in-time abilitato
[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi
[DynamoDB.6] Le tabelle DynamoDB devono avere la protezione da eliminazione abilitata
[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito
[EC2.3] I volumi Amazon EBS collegati devono essere crittografati quando sono inattivi
[EC2.4] Le istanze EC2 interrotte devono essere rimosse dopo un periodo di tempo specificato
[EC2.6] La registrazione del flusso VPC deve essere abilitata in tutti i VPC
[EC2.7] La crittografia predefinita di EBS deve essere abilitata
[EC2.8] Le istanze EC2 devono utilizzare Instance Metadata Service Version 2 (IMDSv2)
[EC2.9] Le istanze Amazon EC2 non devono avere un indirizzo IPv4 pubblico
[EC2.15] Le sottoreti Amazon EC2 non devono assegnare automaticamente indirizzi IP pubblici
[EC2.16] Le liste di controllo degli accessi alla rete non utilizzate devono essere rimosse
[EC2.17] Le istanze Amazon EC2 non devono utilizzare più ENI
[EC2.20] Entrambi i tunnel VPN per unAWSSite-to-Site La connessione VPN dovrebbe essere attiva
[EC2.24] I tipi di istanze paravirtuali di Amazon EC2 non devono essere utilizzati
[EC2.25] I modelli di lancio di Amazon EC2 non devono assegnare IP pubblici alle interfacce di rete
[EC2.55] I VPC devono essere configurati con un endpoint di interfaccia per l'API ECR
[EC2.56] I VPC devono essere configurati con un endpoint di interfaccia per Docker Registry
[EC2.57] I VPC devono essere configurati con un endpoint di interfaccia per Systems Manager
[EC2.170] I modelli di avvio EC2 devono utilizzare Instance Metadata Service Version 2 (IMDSv2)
[EC2.171] Le connessioni VPN EC2 devono avere la registrazione abilitata
[EC2.180] Le interfacce di rete EC2 dovrebbero avere il controllo abilitato source/destination
[EC2.181] I modelli di lancio EC2 dovrebbero abilitare la crittografia per i volumi EBS collegati
[EC2.183] Le connessioni VPN EC2 devono utilizzare il protocollo IKEv2
[ECR.1] I repository privati ECR dovrebbero avere la scansione delle immagini configurata
[ECR.2] I repository privati ECR devono avere configurata l'immutabilità dei tag
[ECR.3] I repository ECR devono avere almeno una politica del ciclo di vita configurata
[ECS.2] Ai servizi ECS non dovrebbero essere assegnati automaticamente indirizzi IP pubblici
[ECS.4] I contenitori ECS devono essere eseguiti come non privilegiati
[ECS.8] I segreti non devono essere passati come variabili di ambiente del contenitore
[ECS.9] Le definizioni delle attività ECS devono avere una configurazione di registrazione
[ECS.12] I cluster ECS devono utilizzare Container Insights
[ECS.16] I set di attività ECS non devono assegnare automaticamente indirizzi IP pubblici
[EFS.2] I volumi Amazon EFS devono essere inclusi nei piani di backup
[EFS.3] I punti di accesso EFS devono applicare una directory principale
[EFS.4] I punti di accesso EFS devono applicare un'identità utente
[EFS.7] I file system EFS devono avere i backup automatici abilitati
[EFS.8] I file system EFS devono essere crittografati a riposo
[EKS.1] Gli endpoint del cluster EKS non dovrebbero essere accessibili al pubblico
[EKS.2] I cluster EKS devono essere eseguiti su una versione Kubernetes supportata
[EKS.3] I cluster EKS devono utilizzare segreti Kubernetes crittografati
[EKS.8] I cluster EKS dovrebbero avere la registrazione di controllo abilitata
[EKS.9] I gruppi di nodi EKS devono essere eseguiti su una versione di Kubernetes supportata
I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati
[ElastiCache.3] i gruppi di ElastiCache replica devono avere il failover automatico abilitato
[ElastiCache.4] i gruppi di ElastiCache replica devono essere crittografati quando sono inattivi
[ElastiCache.5] i gruppi di ElastiCache replica devono essere crittografati in transito
[ElastiCache.7] i ElastiCache cluster non devono utilizzare il gruppo di sottoreti predefinito
[ElasticBeanstalk.3] Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch
[ELB.3] I listener Classic Load Balancer devono essere configurati con terminazione HTTPS o TLS
[ELB.5] La registrazione di Application e Classic Load Balancers deve essere abilitata
[ELB.7] I Classic Load Balancer dovrebbero avere abilitato il drenaggio della connessione
[ELB.9] I Classic Load Balancer devono avere il bilanciamento del carico tra zone abilitato
[ELB.10] Classic Load Balancer dovrebbe estendersi su più zone di disponibilità
[ELB.22] I gruppi target ELB devono utilizzare protocolli di trasporto crittografati
[EMR.1] I nodi primari del cluster Amazon EMR non devono avere indirizzi IP pubblici
[EMR.2] L'impostazione di accesso pubblico a blocchi di Amazon EMR deve essere abilitata
[EMR.4] Le configurazioni di sicurezza di Amazon EMR devono essere crittografate in transito
[ES.1] I domini Elasticsearch devono avere la crittografia a riposo abilitata
[ES.2] I domini Elasticsearch non devono essere accessibili al pubblico
[ES.3] I domini Elasticsearch devono crittografare i dati inviati tra i nodi
[ES.5] I domini Elasticsearch devono avere la registrazione di controllo abilitata
[ES.6] I domini Elasticsearch devono avere almeno tre nodi di dati
[ES.7] I domini Elasticsearch devono essere configurati con almeno tre nodi master dedicati
[FSx.1] I file system FSx per OpenZFS devono essere configurati per copiare i tag su backup e volumi
[FSx.2] I file system FSx for Lustre devono essere configurati per copiare i tag nei backup
[FSx.3] I file system FSx for OpenZFS devono essere configurati per la distribuzione Multi-AZ
[FSx.4] I file system FSx for NetApp ONTAP devono essere configurati per l'implementazione Multi-AZ
[Glue.4]AWS GlueI job Spark devono essere eseguiti su versioni supportate diAWS Glue
[GuardDuty.1] GuardDuty dovrebbe essere abilitato
[GuardDuty.5] GuardDuty EKS Audit Log Monitoring deve essere abilitato
[GuardDuty.6] La protezione GuardDuty Lambda deve essere abilitata
[GuardDuty.7] GuardDuty EKS Runtime Monitoring deve essere abilitato
[GuardDuty.8] La protezione GuardDuty da malware per EC2 deve essere abilitata
[GuardDuty.9] La protezione GuardDuty RDS deve essere abilitata
[GuardDuty.10] La protezione GuardDuty S3 deve essere abilitata
[GuardDuty.11] Il monitoraggio del GuardDuty runtime deve essere abilitato
[GuardDuty.12] Il monitoraggio del runtime GuardDuty ECS deve essere abilitato
[GuardDuty.13] Il monitoraggio del runtime GuardDuty EC2 deve essere abilitato
[IAM.1] Le politiche IAM non dovrebbero consentire privilegi amministrativi «*» completi
[IAM.2] Gli utenti IAM non devono avere policy IAM allegate
[IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno
[IAM.4] La chiave di accesso utente root IAM non dovrebbe esistere
[IAM.6] La MFA hardware deve essere abilitata per l'utente root
[IAM.7] Le politiche relative alle password per gli utenti IAM devono avere configurazioni solide
[IAM.8] Le credenziali utente IAM non utilizzate devono essere rimosse
[Inspector.1] La scansione di Amazon Inspector EC2 deve essere abilitata
[Inspector.2] La scansione ECR di Amazon Inspector deve essere abilitata
[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata
[Inspector.4] La scansione standard di Amazon Inspector Lambda deve essere abilitata
[Kinesis.1] Gli stream Kinesis devono essere crittografati quando sono inattivi
[Kinesis.3] I flussi Kinesis devono avere un periodo di conservazione dei dati adeguato
[KMS.3]AWS KMS keysnon devono essere eliminati involontariamente
[KMS.5] Le chiavi KMS non devono essere accessibili al pubblico
[Lambda.1] Le politiche delle funzioni Lambda dovrebbero vietare l'accesso pubblico
[Lambda.2] Le funzioni Lambda devono utilizzare i runtime supportati
[Lambda.5] Le funzioni VPC Lambda devono funzionare in più zone di disponibilità
[Macie.1] Amazon Macie dovrebbe essere abilitato
[Macie.2] Il rilevamento automatico dei dati sensibili di Macie deve essere abilitato
[MQ.2] I broker ActiveMQ devono trasmettere i log di controllo a CloudWatch
[MSK.1] I cluster MSK devono essere crittografati durante il transito tra i nodi del broker
[MSK.3] I connettori MSK Connect devono essere crittografati in transito
[MSK.4] L'accesso pubblico ai cluster MSK dovrebbe essere disabilitato
[MSK.5] I connettori MSK devono avere la registrazione abilitata
[MSK.6] I cluster MSK devono disabilitare l'accesso non autenticato
[Neptune.1] I cluster Neptune DB devono essere crittografati quando sono inattivi
[Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch
[Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche
[Neptune.4] I cluster Neptune DB dovrebbero avere la protezione da eliminazione abilitata
[Neptune.5] I cluster Neptune DB dovrebbero avere i backup automatici abilitati
[Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive
[Neptune.7] I cluster Neptune DB devono avere l'autenticazione del database IAM abilitata
[Neptune.8] I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee
[NetworkFirewall.2] La registrazione del Network Firewall deve essere abilitata
[NetworkFirewall.6] Il gruppo di regole Stateless Network Firewall non deve essere vuoto
[NetworkFirewall.9] I firewall Network Firewall devono avere la protezione da eliminazione abilitata
[Opensearch.1] OpenSearch i domini devono avere la crittografia a riposo abilitata
[Opensearch.2] i OpenSearch domini non devono essere accessibili al pubblico
[Opensearch.3] i OpenSearch domini devono crittografare i dati inviati tra i nodi
[Opensearch.5] i OpenSearch domini devono avere la registrazione di controllo abilitata
[Opensearch.6] i OpenSearch domini devono avere almeno tre nodi di dati
[Opensearch.7] i OpenSearch domini devono avere un controllo granulare degli accessi abilitato
[Opensearch.10] OpenSearch sui domini dovrebbe essere installato l'ultimo aggiornamento software
[PCA.1]AWS Private CAl'autorità di certificazione principale deve essere disabilitata
[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS
[RDS.1] L'istantanea RDS deve essere privata
[RDS.3] Le istanze DB RDS devono avere la crittografia a riposo abilitata
[RDS.5] Le istanze DB RDS devono essere configurate con più zone di disponibilità
[RDS.6] Il monitoraggio avanzato deve essere configurato per le istanze DB RDS
[RDS.7] I cluster RDS devono avere la protezione da eliminazione abilitata
[RDS.8] Le istanze DB RDS devono avere la protezione da eliminazione abilitata
[RDS.9] Le istanze DB RDS devono pubblicare i log in Logs CloudWatch
[RDS.10] L'autenticazione IAM deve essere configurata per le istanze RDS
[RDS.11] Le istanze RDS devono avere i backup automatici abilitati
[RDS.12] L'autenticazione IAM deve essere configurata per i cluster RDS
[RDS.13] Gli aggiornamenti automatici delle versioni secondarie di RDS devono essere abilitati
[RDS.14] I cluster Amazon Aurora dovrebbero avere il backtracking abilitato
[RDS.15] I cluster RDS DB devono essere configurati per più zone di disponibilità
[RDS.16] I cluster Aurora DB devono essere configurati per copiare i tag nelle istantanee DB
[RDS.17] Le istanze DB RDS devono essere configurate per copiare i tag negli snapshot
[RDS.23] Le istanze RDS non devono utilizzare una porta predefinita del motore di database
[RDS.24] I cluster di database RDS devono utilizzare un nome utente di amministratore personalizzato
[RDS.25] Le istanze del database RDS devono utilizzare un nome utente amministratore personalizzato
[RDS.27] I cluster RDS DB devono essere crittografati quando sono inattivi
[RDS.34] I cluster Aurora MySQL DB devono pubblicare i log di controllo su Logs CloudWatch
[RDS.36] Le istanze DB di RDS per PostgreSQL devono pubblicare i log in Logs CloudWatch
[RDS.37] I cluster Aurora PostgreSQL DB devono pubblicare i log in Logs CloudWatch
[RDS.40] Le istanze DB di RDS per SQL Server devono pubblicare i log in Logs CloudWatch
[RDS.41] Le istanze DB di RDS per SQL Server devono essere crittografate in transito
[RDS.42] Le istanze RDS per MariaDB DB dovrebbero pubblicare i log su Logs CloudWatch
[] I proxy RDS DB devono richiedere la crittografia TLS per le connessioni RDS.43
[RDS.44] Le istanze RDS per MariaDB DB devono essere crittografate in transito
[RDS.45] I cluster Aurora MySQL DB devono avere la registrazione di controllo abilitata
[RDS.50] I cluster RDS DB devono avere un periodo di conservazione dei backup sufficiente
[RDS.51] I cluster globali RDS devono essere eseguiti su una versione Aurora MySQL supportata
[Redshift.1] I cluster Amazon Redshift dovrebbero vietare l'accesso pubblico
[Redshift.2] Le connessioni ai cluster Amazon Redshift devono essere crittografate in transito
[Redshift.3] I cluster Amazon Redshift devono avere le istantanee automatiche abilitate
[Redshift.4] I cluster Amazon Redshift devono avere la registrazione di controllo abilitata
[Redshift.7] I cluster Redshift devono utilizzare un routing VPC avanzato
[Redshift.10] I cluster Redshift devono essere crittografati a riposo
[Redshift.18] I cluster Redshift dovrebbero avere le implementazioni abilitate Multi-AZ
[RedshiftServerless.6] I namespace Redshift Serverless dovrebbero esportare i log in Logs CloudWatch
[S3.2] I bucket S3 per uso generico dovrebbero bloccare l'accesso pubblico in lettura
[S3.3] I bucket S3 per uso generico dovrebbero bloccare l'accesso pubblico in scrittura
[S3.5] I bucket S3 per uso generico dovrebbero richiedere richieste di utilizzo di SSL
[S3.8] I bucket generici S3 dovrebbero bloccare l'accesso pubblico
[S3.9] I bucket generici S3 devono avere la registrazione degli accessi al server abilitata
[S3.13] I bucket S3 per uso generico devono avere configurazioni del ciclo di vita
[S3.19] I punti di accesso S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate
[S3.25] I bucket di directory S3 devono avere configurazioni del ciclo di vita
[SageMaker.1] Le istanze di SageMaker notebook Amazon non devono avere accesso diretto a Internet
[SageMaker.2] le istanze di SageMaker notebook devono essere avviate in un VPC personalizzato
[SageMaker.3] Gli utenti non devono avere accesso root alle istanze dei SageMaker notebook
[SageMaker.5] SageMaker i modelli dovrebbero avere l'isolamento della rete abilitato
[SageMaker.8] le istanze SageMaker notebook devono essere eseguite su piattaforme supportate
[SecretsManager.1] I segreti di Secrets Manager devono avere la rotazione automatica abilitata
[SecretsManager.3] Rimuovi i segreti inutilizzati di Secrets Manager
[SES.3] I set di configurazione SES devono avere TLS abilitato per l'invio di e-mail
[SNS.4] Le politiche di accesso agli argomenti SNS non dovrebbero consentire l'accesso pubblico
[SQS.1] Le code di Amazon SQS devono essere crittografate quando sono inattive
[SQS.3] Le politiche di accesso alla coda di SQS non dovrebbero consentire l'accesso pubblico
[SSM.1] Le istanze Amazon EC2 devono essere gestite daAWS Systems Manager
[SSM.4] I documenti SSM non devono essere pubblici
[SSM.6] SSM Automation dovrebbe avere la registrazione abilitata CloudWatch
[SSM.7] I documenti SSM devono avere l'impostazione di condivisione pubblica a blocchi abilitata
[StepFunctions.1] Le macchine a stati Step Functions dovrebbero avere la registrazione attivata
[Transfer.3] I connettori Transfer Family dovrebbero avere la registrazione abilitata
[WAF.1]AWS WAFLa registrazione ACL Global Web classica deve essere abilitata
[WAF.2]AWS WAFLe regole regionali classiche devono avere almeno una condizione
[WAF.3]AWS WAFI gruppi di regole regionali classici devono avere almeno una regola
[WAF.4]AWS WAFGli ACL Web regionali classici devono avere almeno una regola o un gruppo di regole
[WAF.6]AWS WAFLe regole globali classiche devono avere almeno una condizione
[WAF.7]AWS WAFI gruppi di regole globali classici devono avere almeno una regola
[WAF.8]AWS WAFGli ACL Web globali classici devono avere almeno una regola o un gruppo di regole
[WAF.10]AWS WAFgli ACL web devono avere almeno una regola o un gruppo di regole
[WAF.12]AWS WAFle regole dovrebbero avere le metriche abilitate CloudWatch
[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi
[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi