Melhores práticas operacionais para FedRAMP (Parte 2)
Os pacotes de conformidade fornecem um framework de conformidade de uso geral desenvolvido para permitir que você crie verificações de governança operacional, de segurança ou de otimização de custos usando regras gerenciadas ou personalizadas do AWS Config e ações de correção do AWS Config. Os pacotes de conformidade, como os modelos de amostra, não foram projetados para garantir totalmente a conformidade com um padrão específico de governança ou conformidade. Você é responsável por avaliar se o seu uso dos serviços atende aos requisitos legais e regulamentares aplicáveis.
O seguinte é um exemplo de mapeamento entre o Federal Risk and Authorization Management Program (FedRAMP) e as regras gerenciadas do AWS Config. Cada regra do Config se aplica a um recurso específico da AWS e está relacionada a um ou mais controles do FedRAMP. Um controle do FedRAMP pode estar relacionado a várias regras do Config. Consulte a tabela abaixo para conferir mais detalhes e orientações relacionados a esses mapeamentos.
| ID de controle | Descrição do controle | Regra do AWS Config | Orientação |
|---|---|---|---|
| AC-02 (11) | O sistema de informações impõe circunstâncias definidas pela organização e/ou condições de uso para contas do sistema definidas pela organização. | Use o Amazon GuardDuty para monitorar o uso de credenciais de curto prazo associadas às funções de instância do IAM. O Amazon GuardDuty é capaz de verificar a exfiltração de credenciais nos perfis de instância do IAM usando a verificação UnauthorizedAccess. | |
| AC-02 (12)(a) | A organização: a. Monitora as contas do sistema de informações em busca de [Atribuição: uso atípico definido pela organização]. | O AWS CloudTrail pode ajudar no não repúdio ao registrar ações e chamadas de API do Console de Gerenciamento da AWS. É possível identificar os usuários e as contas da AWS que chamaram um serviço da AWS, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são encontrados no conteúdo do registro do AWS CloudTrail. | |
| AC-06 (03) | A organização autoriza o acesso à rede ao pessoal designado somente quando é necessário concluir a tarefa de acesso ao plano de segurança. | Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar a gerenciar o acesso à rede fornecendo filtragem stateful do tráfego de rede de entrada e saída aos recursos da AWS. Não permitir o tráfego de entrada (ou remoto) de 0.0.0.0/0 para a porta 22 nos recursos ajuda a restringir o acesso remoto. | |
| AC-06 (03) | A organização autoriza o acesso à rede a [Atribuição: comandos privilegiados definidos pela organização] somente para [Atribuição: necessidades operacionais convincentes definidas pela organização] e documenta a justificativa desse acesso no plano de segurança do sistema. | Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar no gerenciamento do acesso à rede fornecendo filtragem stateful do tráfego de rede de entrada e saída aos recursos da AWS. Restringir todo o tráfego no grupo de segurança padrão ajuda a limitar o acesso remoto aos recursos da AWS. | |
| AC-06 (03) | A organização autoriza o acesso à rede a [Atribuição: comandos privilegiados definidos pela organização] somente para [Atribuição: necessidades operacionais convincentes definidas pela organização] e documenta a justificativa desse acesso no plano de segurança do sistema. | Para gerenciar o acesso à Nuvem AWS, as sub-redes do Amazon Virtual Private Cloud (VPC) não devem receber automaticamente um endereço IP público. As instâncias do Amazon Elastic Compute Cloud (EC2) que são executadas em sub-redes com esse atributo habilitado têm um endereço IP público atribuído à sua interface de rede primária. | |
| AC-06 (03) | A organização autoriza o acesso à rede a [Atribuição: comandos privilegiados definidos pela organização] somente para [Atribuição: necessidades operacionais convincentes definidas pela organização] e documenta a justificativa desse acesso no plano de segurança do sistema. | Se você configurar suas interfaces de rede com um endereço IP público, os recursos associados a elas poderão ser acessados pela internet. Os recursos do EC2 não devem permitir acesso público, pois isso permite acesso não intencional a aplicações ou servidores. | |
| AC-06 (03) | A organização autoriza o acesso à rede a [Atribuição: comandos privilegiados definidos pela organização] somente para [Atribuição: necessidades operacionais convincentes definidas pela organização] e documenta a justificativa desse acesso no plano de segurança do sistema. | Para gerenciar o acesso à Nuvem AWS, garanta que os nós principais do cluster do Amazon EMR não possam ser acessados publicamente. Os nós principais do cluster do Amazon EMR podem conter informações confidenciais, e o controle de acesso é necessário para essas contas. | |
| AC-06 (03) | A organização autoriza o acesso à rede a [Atribuição: comandos privilegiados definidos pela organização] somente para [Atribuição: necessidades operacionais convincentes definidas pela organização] e documenta a justificativa desse acesso no plano de segurança do sistema. | Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as funções do AWS Lambda não possam ser acessadas publicamente. O acesso público pode causar degradação da disponibilidade de recursos. | |
| AC-06 (03) | A organização autoriza o acesso à rede a [Atribuição: comandos privilegiados definidos pela organização] somente para [Atribuição: necessidades operacionais convincentes definidas pela organização] e documenta a justificativa desse acesso no plano de segurança do sistema. | Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas. | |
| AC-06 (03) | A organização autoriza o acesso à rede a [Atribuição: comandos privilegiados definidos pela organização] somente para [Atribuição: necessidades operacionais convincentes definidas pela organização] e documenta a justificativa desse acesso no plano de segurança do sistema. | Para gerenciar o acesso a recursos na Nuvem AWS, garanta que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas. | |
| AC-06 (03) | A organização autoriza o acesso à rede a [Atribuição: comandos privilegiados definidos pela organização] somente para [Atribuição: necessidades operacionais convincentes definidas pela organização] e documenta a justificativa desse acesso no plano de segurança do sistema. | Para gerenciar o acesso a recursos na AWS nuvem, garanta que os cadernos do Amazon SageMaker não permitam acesso direto à internet. Ao impedir o acesso direto à internet, você impede que dados confidenciais sejam acessados por usuários não autorizados. | |
| AC-06 (03) | A organização autoriza o acesso à rede a [Atribuição: comandos privilegiados definidos pela organização] somente para [Atribuição: necessidades operacionais convincentes definidas pela organização] e documenta a justificativa desse acesso no plano de segurança do sistema. | Gerencie seu acesso ao cluster do Amazon Elastic Kubernetes Service (Amazon EKS) garantindo que o endpoint do servidor da API do Kubernetes não esteja acessível ao público. Ao restringir o acesso público ao endpoint do servidor da API Kubernetes, você pode reduzir o risco de acesso não autorizado ao seu cluster EKS e seus recursos. | |
| AU-05 (02) | O sistema de informações emite um aviso à pessoa-chave dentro do prazo definido, quando o volume alocado de armazenamento de logs de auditoria atinge a porcentagem definida da capacidade máxima de armazenamento de logs de auditoria do repositório. | Os alarmes do Amazon CloudWatch alertam quando uma métrica ultrapassa o limite de um número especificado de períodos de avaliação. O alarme executa uma ou mais ações com base no valor da métrica ou na expressão em relação a um limite em alguns períodos. Essa regra exige um valor para alarmActionRequired (padrão do Config: verdadeiro), insufficientDataActionRequired (padrão do Config: verdadeiro), okActionRequired (padrão do Config: falso). O valor real deve refletir as ações de alarme do ambiente. | |
| AU-06 (04) | Revisão, análise e geração de relatórios de registros de auditoria | Revisão e análise central | Habilite os logs de erros dos domínios do Amazon OpenSearch Service e transmita-os ao Amazon CloudWatch Logs para retenção e resposta. Os logs de erros do domínio podem auxiliar nas auditorias de segurança e acesso, além de ajudar a diagnosticar problemas de disponibilidade. | |
| AU-06 (04) | Revisão, análise e geração de relatórios de registros de auditoria | Revisão e análise central | O AWS CloudTrail registra as ações e as chamadas de API do Console de Gerenciamento da AWS. Você pode identificar quais usuários e contas chamaram a AWS, o endereço IP de origem do qual as chamadas foram feitas e quando elas ocorreram. O CloudTrail fornecerá os arquivos de log de todas as regiões da AWS para o bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, quando a AWS atender a uma nova região, o CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação. | |
| AU-06 (04) | Revisão, análise e geração de relatórios de registros de auditoria | Revisão e análise central | Para ajudar com o registro em log e o monitoramento em seu ambiente, habilite o registro em log do AWS WAF (V2) em ACLs da web regionais e globais. O registro em log do AWS WAF fornece informações detalhadas sobre o tráfego que é analisado pela ACL da web. Os logs registram a hora em que o AWS WAF recebeu a solicitação do recurso da AWS, informações sobre a solicitação e uma ação para a regra à qual cada solicitação correspondeu. | |
| AU-06 (04) | Revisão, análise e geração de relatórios de registros de auditoria | Revisão e análise central | O registro em log do API Gateway exibe visualizações detalhadas dos usuários que acessaram a API e a forma como eles a acessaram. Esse insight mostra as atividades do usuário. | |
| AU-06 (04) | Revisão, análise e geração de relatórios de registros de auditoria | Revisão e análise central | Use o Amazon CloudWatch para coletar e gerenciar centralmente a atividade de eventos de logs. A inclusão dos dados do AWS CloudTrail fornece detalhes da atividade de chamadas da API em sua conta da AWS. | |
| AU-06 (04) | Revisão, análise e geração de relatórios de registros de auditoria | Revisão e análise central | O AWS CloudTrail pode ajudar no não repúdio ao registrar ações e chamadas de API do Console de Gerenciamento da AWS. É possível identificar os usuários e as contas da AWS que chamaram um serviço da AWS, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são encontrados no conteúdo do registro do AWS CloudTrail. | |
| AU-06 (04) | Revisão, análise e geração de relatórios de registros de auditoria | Revisão e análise central | A coleta de eventos de dados do Simple Storage Service (Amazon S3) ajuda a detectar qualquer atividade anômala. Os detalhes incluem informações da conta da AWS que acessou um bucket do Amazon S3, o endereço IP e o horário do evento. | |
| AU-06 (04) | Revisão, análise e geração de relatórios de registros de auditoria | Revisão e análise central | A atividade do Elastic Load Balancing é um ponto central de comunicação em um ambiente. Habilite o registro em log do ELB. Os dados coletados fornecem informações detalhadas sobre as solicitações enviadas ao ELB. Cada log contém informações como a hora em que a solicitação foi recebida, o endereço IP do cliente, latências, caminhos de solicitação e respostas do servidor. | |
| AU-06 (04) | Revisão, análise e geração de relatórios de registros de auditoria | Revisão e análise central | Para ajudar no registro em log e no monitoramento em seu ambiente, habilite o registro em log do Amazon Relational Database Service (Amazon RDS). Com o registro em log do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas. | |
| AU-06 (04) | Revisão, análise e geração de relatórios de registros de auditoria | Revisão e análise central | Para proteger os dados em repouso, habilite a criptografia para os clusters do Amazon Redshift. Implante também as configurações necessárias nos clusters do Amazon Redshift. O registro em log de auditoria deve ser habilitado para fornecer informações sobre conexões e atividades do usuário no banco de dados. Essa regra exige que um valor seja definido para clusterDbEncrypted (padrão do Config: VERDADEIRO) e loggingEnabled (padrão do Config: VERDADEIRO). Os valores reais devem refletir as políticas da organização. | |
| AU-06 (04) | Revisão, análise e geração de relatórios de registros de auditoria | Revisão e análise central | O registro em log de acesso ao servidor do Amazon Simple Storage Service (Amazon S3) fornece um método para monitorar a rede em busca de possíveis eventos de segurança cibernética. Os eventos são monitorados pela captura de registros detalhados das solicitações que são feitas a um bucket do Amazon S3. Cada registro de log de acesso fornece detalhes sobre uma única solicitação de acesso. Os detalhes incluem solicitante, nome do bucket, horário da solicitação, ação da solicitação, status da resposta e um código de erro, se relevante. | |
| AU-06 (04) | Revisão, análise e geração de relatórios de registros de auditoria | Revisão e análise central | Os logs de fluxo da VPC fornecem registros detalhados de informações sobre o tráfego de IP de entrada e saída das interfaces de rede no Amazon Virtual Private Cloud (Amazon VPC). Por padrão, o registro de log de fluxo inclui valores para os diferentes componentes do fluxo de IP, incluindo a origem, o destino e o protocolo. | |
| AU-06 (05) | A organização integra a análise dos registros de auditoria com a análise das informações de verificação de vulnerabilidades, dados de desempenho e informações de monitoramento do sistema para aprimorar ainda mais a capacidade de identificar atividades inadequadas ou incomuns. | O Amazon GuardDuty pode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência contra ameaças. Isso inclui listas de IPs maliciosos e machine learning para identificar atividades inesperadas, não autorizadas e mal-intencionadas em seu ambiente na Nuvem AWS. | |
| AU-06 (05) | A organização integra a análise dos registros de auditoria com a análise de [Seleção (uma ou mais): informações de verificação de vulnerabilidades; dados de desempenho; informações de monitoramento do sistema; [Atribuição: dados/informações definidos pela organização coletados de outras fontes]] para aprimorar ainda mais a capacidade de identificar atividades inadequadas ou incomuns. | O AWS Security Hub ajuda a monitorar equipes, conexões, dispositivos e software não autorizados. O AWS Security Hub agrega, organiza e prioriza os alertas de segurança ou as descobertas de vários serviços da AWS. Alguns desses serviços são o Amazon Security Hub, o Amazon Inspector, o Amazon Macie, o AWS Identity and Access Management (IAM) Access Analyzer e o AWS Firewall Manager, além de soluções de parceiros da AWS. | |
| AU-06 (07) | A organização especifica as ações permitidas para cada processo, função e usuário do sistema associados à revisão, análise e emissão de relatórios das informações do registro de auditoria. | Assegure que um usuário, um perfil ou um grupo do AWS Identity and Access Management (IAM) não tenha uma política em linha para controlar o acesso a sistemas e ativos. A AWS recomenda usar políticas gerenciadas, em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o versionamento, a reversão e a delegação do gerenciamento de permissões. | |
| AU-06 (07) | A organização especifica as ações permitidas para cada [Seleção (uma ou mais): processo do sistema; função; usuário] associada à revisão, análise e emissão de relatórios das informações do registro de auditoria. | Essa regra garante que as políticas do AWS Identity and Access Management (IAM) sejam anexadas apenas a grupos ou perfis para controlar o acesso a sistemas e ativos. A atribuição de privilégios por grupo ou perfil ajuda a reduzir a oportunidade de uma identidade receber ou reter privilégios excessivos. | |
| AU-09 (02) | O sistema de informações implementa mecanismos de criptografia para proteger a integridade das informações e ferramentas de auditoria. | Utilize a validação de arquivo de log do AWS CloudTrail para verificar a integridade dos logs do CloudTrail. Essa validação ajuda a determinar se um arquivo de log foi modificado, excluído ou permaneceu inalterado depois de ser fornecido pelo CloudTrail. Esse recurso é criado usando algoritmos padrão do setor: SHA-256 para hashing e SHA-256 com RSA para assinaturas digitais. Desse modo, é computacionalmente impraticável modificar, excluir ou forjar arquivos de log do CloudTrail sem detectar tais ações. | |
| AU-09 (02) | O sistema de informações implementa mecanismos de criptografia para proteger a integridade das informações e ferramentas de auditoria. | Como pode haver dados confidenciais, e para ajudar a proteger os dados em repouso, habilite a criptografia para as trilhas do AWS CloudTrail. | |
| AU-09 (02) | O sistema de informações implementa mecanismos de criptografia para proteger a integridade das informações e ferramentas de auditoria. | Para ajudar a proteger dados confidenciais em repouso, habilite a criptografia para os grupos do Amazon CloudWatch Logs. | |
| AU-09 (02) | O sistema de informações implementa mecanismos de criptografia para proteger a integridade das informações e ferramentas de auditoria. | Habilite a criptografia para os buckets do Amazon Simple Storage Service (Amazon S3). Como pode haver dados confidenciais em repouso em um bucket do Amazon S3, habilite a criptografia em repouso para ajudar a protegê-los. | |
| AU-09 (03) | O sistema de informação fornece evidências irrefutáveis de que um indivíduo atuou. | Utilize a validação de arquivo de log do AWS CloudTrail para verificar a integridade dos logs do CloudTrail. Essa validação ajuda a determinar se um arquivo de log foi modificado, excluído ou permaneceu inalterado depois de ser fornecido pelo CloudTrail. Esse recurso é criado usando algoritmos padrão do setor: SHA-256 para hashing e SHA-256 com RSA para assinaturas digitais. Desse modo, é computacionalmente impraticável modificar, excluir ou forjar arquivos de log do CloudTrail sem detectar tais ações. | |
| AU-09 (03) | O sistema de informações restringe o acesso à rede aos dados do log de auditoria. | Garante que os buckets do S3 usados para armazenar os logs do CloudTrail não sejam acessíveis publicamente. | |
| AU-10 | O sistema de informação fornece evidências irrefutáveis de que um indivíduo (ou processo agindo em nome de um indivíduo) realizou [Tarefa: ações definidas pela organização a serem cobertas por não repúdio]. | O AWS CloudTrail pode ajudar no não repúdio ao registrar ações e chamadas de API do Console de Gerenciamento da AWS. É possível identificar os usuários e as contas da AWS que chamaram um serviço da AWS, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são encontrados no conteúdo do registro do AWS CloudTrail. | |
| AU-10 | O sistema de informação fornece evidências irrefutáveis de que um indivíduo (ou processo agindo em nome de um indivíduo) realizou [Tarefa: ações definidas pela organização a serem cobertas por não repúdio]. | Como pode haver dados confidenciais, e para ajudar a proteger os dados em repouso, habilite a criptografia para as trilhas do AWS CloudTrail. | |
| AU-10 | O sistema de informação fornece evidências irrefutáveis de que um indivíduo (ou processo agindo em nome de um indivíduo) realizou [Tarefa: ações definidas pela organização a serem cobertas por não repúdio]. | O AWS CloudTrail registra as ações e as chamadas de API do Console de Gerenciamento da AWS. Você pode identificar quais usuários e contas chamaram a AWS, o endereço IP de origem do qual as chamadas foram feitas e quando elas ocorreram. O CloudTrail fornecerá os arquivos de log de todas as regiões da AWS para o bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, quando a AWS atender a uma nova região, o CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação. | |
| AU-12 | A organização compila registros de auditoria de [Atribuição: componentes do sistema definidos pela organização] em uma trilha de auditoria de todo o sistema (lógica ou física) que está correlacionada ao tempo com [Atribuição: nível de tolerância definido pela organização para o relacionamento entre registros de data e hora de registros individuais na trilha de auditoria]. | O registro em log de acesso ao servidor do Amazon Simple Storage Service (Amazon S3) fornece um método para monitorar a rede em busca de possíveis eventos de segurança cibernética. Os eventos são monitorados pela captura de registros detalhados das solicitações que são feitas a um bucket do Amazon S3. Cada registro de log de acesso fornece detalhes sobre uma única solicitação de acesso. Os detalhes incluem solicitante, nome do bucket, horário da solicitação, ação da solicitação, status da resposta e um código de erro, se relevante. | |
| AU-12 | A organização compila registros de auditoria de [Atribuição: componentes do sistema definidos pela organização] em uma trilha de auditoria de todo o sistema (lógica ou física) que está correlacionada ao tempo com [Atribuição: nível de tolerância definido pela organização para o relacionamento entre registros de data e hora de registros individuais na trilha de auditoria]. | A coleta de eventos de dados do Simple Storage Service (Amazon S3) ajuda a detectar qualquer atividade anômala. Os detalhes incluem informações da conta da AWS que acessou um bucket do Amazon S3, o endereço IP e o horário do evento. | |
| AU-12 | A organização compila registros de auditoria de [Atribuição: componentes do sistema definidos pela organização] em uma trilha de auditoria de todo o sistema (lógica ou física) que está correlacionada ao tempo com [Atribuição: nível de tolerância definido pela organização para o relacionamento entre registros de data e hora de registros individuais na trilha de auditoria]. | Use o Amazon CloudWatch para coletar e gerenciar centralmente a atividade de eventos de logs. A inclusão dos dados do AWS CloudTrail fornece detalhes da atividade de chamadas da API em sua conta da AWS. | |
| AU-12 | A organização compila registros de auditoria de [Atribuição: componentes do sistema definidos pela organização] em uma trilha de auditoria de todo o sistema (lógica ou física) que está correlacionada ao tempo com [Atribuição: nível de tolerância definido pela organização para o relacionamento entre registros de data e hora de registros individuais na trilha de auditoria]. | O AWS CloudTrail pode ajudar no não repúdio ao registrar ações e chamadas de API do Console de Gerenciamento da AWS. É possível identificar os usuários e as contas da AWS que chamaram um serviço da AWS, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são encontrados no conteúdo do registro do AWS CloudTrail. | |
| AU-12 | A organização compila registros de auditoria de [Atribuição: componentes do sistema definidos pela organização] em uma trilha de auditoria de todo o sistema (lógica ou física) que está correlacionada ao tempo com [Atribuição: nível de tolerância definido pela organização para o relacionamento entre registros de data e hora de registros individuais na trilha de auditoria]. | O AWS CloudTrail registra as ações e as chamadas de API do Console de Gerenciamento da AWS. Você pode identificar quais usuários e contas chamaram a AWS, o endereço IP de origem do qual as chamadas foram feitas e quando elas ocorreram. O CloudTrail fornecerá os arquivos de log de todas as regiões da AWS para o bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, quando a AWS atender a uma nova região, o CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação. | |
| AU-12 | A organização compila registros de auditoria de [Atribuição: componentes do sistema definidos pela organização] em uma trilha de auditoria de todo o sistema (lógica ou física) que está correlacionada ao tempo com [Atribuição: nível de tolerância definido pela organização para o relacionamento entre registros de data e hora de registros individuais na trilha de auditoria]. | A atividade do Elastic Load Balancing é um ponto central de comunicação em um ambiente. Habilite o registro em log do ELB. Os dados coletados fornecem informações detalhadas sobre as solicitações enviadas ao ELB. Cada log contém informações como a hora em que a solicitação foi recebida, o endereço IP do cliente, latências, caminhos de solicitação e respostas do servidor. | |
| AU-12 | A organização compila registros de auditoria de [Atribuição: componentes do sistema definidos pela organização] em uma trilha de auditoria de todo o sistema (lógica ou física) que está correlacionada ao tempo com [Atribuição: nível de tolerância definido pela organização para o relacionamento entre registros de data e hora de registros individuais na trilha de auditoria]. | Os logs de fluxo da VPC fornecem registros detalhados de informações sobre o tráfego de IP de entrada e saída das interfaces de rede no Amazon Virtual Private Cloud (Amazon VPC). Por padrão, o registro de log de fluxo inclui valores para os diferentes componentes do fluxo de IP, incluindo a origem, o destino e o protocolo. | |
| AU-12 | A organização compila registros de auditoria de [Atribuição: componentes do sistema definidos pela organização] em uma trilha de auditoria de todo o sistema (lógica ou física) que está correlacionada ao tempo com [Atribuição: nível de tolerância definido pela organização para o relacionamento entre registros de data e hora de registros individuais na trilha de auditoria]. | Para ajudar no registro em log e no monitoramento em seu ambiente, habilite o registro em log do Amazon Relational Database Service (Amazon RDS). Com o registro em log do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas. | |
| AU-12 | A organização compila registros de auditoria de [Atribuição: componentes do sistema definidos pela organização] em uma trilha de auditoria de todo o sistema (lógica ou física) que está correlacionada ao tempo com [Atribuição: nível de tolerância definido pela organização para o relacionamento entre registros de data e hora de registros individuais na trilha de auditoria]. | Para ajudar com o registro em log e o monitoramento em seu ambiente, habilite o registro em log do AWS WAF (V2) em ACLs da web regionais e globais. O registro em log do AWS WAF fornece informações detalhadas sobre o tráfego que é analisado pela ACL da web. Os logs registram a hora em que o AWS WAF recebeu a solicitação do recurso da AWS, informações sobre a solicitação e uma ação para a regra à qual cada solicitação correspondeu. | |
| CM-03 | A organização determina e documenta os tipos de alterações no sistema que são controladas pela configuração. | Habilite a proteção contra exclusão das instâncias do Amazon Relational Database Service (Amazon RDS). Use a proteção contra exclusão para evitar que as instâncias do Amazon RDS sejam excluídas de forma acidental ou mal-intencionada, o que pode levar à perda de disponibilidade das aplicações. | |
| CM-08 (02) | A organização mantém a atualidade, a integridade, a precisão e a disponibilidade do inventário dos componentes do sistema usando [Atribuição: mecanismos automatizados definidos pela organização]. | É possível ter um inventário das plataformas e aplicações de software na organização ao gerenciar instâncias do Amazon Elastic Compute Cloud (Amazon EC2) com o AWS Systems Manager. Use o AWS Systems Manager para fornecer configurações detalhadas do sistema, níveis de patch do sistema operacional, nome e tipo de serviços, instalações de software, nome da aplicação, publicador e versão, além de outros detalhes sobre seu ambiente. | |
| CM-08 (02) | A organização mantém a atualidade, a integridade, a precisão e a disponibilidade do inventário dos componentes do sistema usando [Atribuição: mecanismos automatizados definidos pela organização]. | Use as associações do AWS Systems Manager para ajudar no inventário de plataformas e aplicações de software em uma organização. O AWS Systems Manager atribui um estado de configuração às instâncias gerenciadas e permite que você defina linhas de base de níveis de patch do sistema operacional, instalações de software, configurações de aplicações e outros detalhes sobre o ambiente. | |
| CM-08 (02) | A organização mantém a atualidade, a integridade, a precisão e a disponibilidade do inventário dos componentes do sistema usando [Atribuição: mecanismos automatizados definidos pela organização]. | Habilite essa regra para ajudar na identificação e documentação das vulnerabilidades do Amazon Elastic Compute Cloud (Amazon EC2). A regra verifica se a instância do Amazon EC2 está em conformidade com os patches no AWS Systems Manager, conforme exigido pelas políticas e pelos procedimentos da organização. | |
| CP-02 (05) | A organização fornece o plano para a continuidade da missão e das funções de negócios com mínima ou nenhuma perda de continuidade operacional e mantém essa continuidade até a restauração completa do sistema nos locais primários de processamento e/ou armazenamento. | O suporte multi-AZ no Amazon Relational Database Service (Amazon RDS) oferece maior disponibilidade e durabilidade para instâncias de banco de dados. Ao provisionar uma instância de banco de dados multi-AZ, o Amazon RDS cria automaticamente uma instância de banco de dados primária e replica de forma síncrona os dados em uma instância em modo de espera em outra zona de disponibilidade. Cada zona de disponibilidade funciona em sua própria infraestrutura independente e fisicamente distinta, além de ser projetada para ser altamente confiável. No caso de falha na infraestrutura, o Amazon RDS executa um failover automático no modo de espera para que você possa retomar as operações do banco de dados assim que o failover for concluído. | |
| CP-06 (02) | A organização configura o local de armazenamento alternativo para facilitar as operações de recuperação de acordo com os objetivos de tempo e ponto de recuperação. | Verifica se um ponto de recuperação não expira antes do período especificado. As organizações estabelecem objetivos de tempo e ponto de recuperação como parte do planejamento de contingência. A configuração do local de armazenamento alternativo inclui instalações físicas e sistemas que suportam as operações de recuperação que garantem a acessibilidade e a execução correta. | |
| CP-06 (02) | A organização configura o local de armazenamento alternativo para facilitar as operações de recuperação de acordo com os objetivos de tempo e ponto de recuperação. | A Replicação entre regiões (CRR) do Amazon Simple Storage Service (Amazon S3) é compatível com a manutenção de capacidade e disponibilidade adequadas. A CRR permite a cópia automática e assíncrona de objetos nos buckets do Amazon S3 para ajudar a garantir a manutenção da disponibilidade de dados. | |
| CP-06 (02) | A organização configura o local de armazenamento alternativo para facilitar as operações de recuperação de acordo com os objetivos de tempo e ponto de recuperação. | Verifica se os bancos de dados do Amazon Relational Database Service (Amazon RDS) estão presentes em planos do AWS Backup. As organizações estabelecem objetivos de tempo e ponto de recuperação como parte do planejamento de contingência. A configuração do local de armazenamento alternativo inclui instalações físicas e sistemas que suportam as operações de recuperação que garantem a acessibilidade e a execução correta. | |
| CP-06 (02) | A organização configura o local de armazenamento alternativo para facilitar as operações de recuperação de acordo com os objetivos de tempo e ponto de recuperação. | Verifica se a tabela do Amazon DynamoDB está presente nos planos do AWS Backup. As organizações estabelecem objetivos de tempo e ponto de recuperação como parte do planejamento de contingência. A configuração do local de armazenamento alternativo inclui instalações físicas e sistemas que suportam as operações de recuperação que garantem a acessibilidade e a execução correta. | |
| CP-06 (02) | A organização configura o local de armazenamento alternativo para facilitar as operações de recuperação de acordo com os objetivos de tempo e ponto de recuperação. | Para ajudar nos processos de backup de dados, os volumes do Amazon Elastic Block Store (Amazon EBS) devem fazer parte de um plano do AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups. | |
| CP-06 (02) | A organização configura o local de armazenamento alternativo para facilitar as operações de recuperação de acordo com os objetivos de tempo e ponto de recuperação. | Para ajudar nos processos de backup de dados, os sistemas de arquivos do Amazon Elastic File System (Amazon EFS) devem fazer parte de um plano do AWS backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups. | |
| CP-06 (02) | A organização configura o local de armazenamento alternativo para facilitar as operações de recuperação de acordo com os objetivos de tempo e ponto de recuperação. | Habilite o balanceamento de carga entre zonas para os Elastic Load Balancers (ELBs) para ajudar a manter a capacidade e a disponibilidade adequadas. O balanceamento de carga entre zonas reduz a necessidade de manter números equivalentes de instâncias em cada zona de disponibilidade habilitada. Também melhora a capacidade da aplicação de lidar com a perda de uma ou mais instâncias. | |
| CP-06 (02) | A organização configura o local de armazenamento alternativo para facilitar as operações de recuperação de acordo com os objetivos de tempo e ponto de recuperação. | Para ajudar nos processos de backup de dados, os clusters do Amazon Redshift devem ter instantâneos automatizados. Quando instantâneos automatizados são habilitados para um cluster, o Redshift tira instantâneos desse cluster periodicamente. Por padrão, o Redshift tira um instantâneo a cada oito horas ou a cada 5 GB por nó de alterações de dados, o que ocorrer primeiro. | |
| CP-06 (02) | A organização configura o local de armazenamento alternativo para facilitar as operações de recuperação de acordo com os objetivos de tempo e ponto de recuperação. | Configure as políticas de ciclo de vida do Amazon S3 para definir ações que você deseja que o Amazon S3 realize durante o ciclo de vida de um objeto (por exemplo, fazer a transição de objetos para outra classe de armazenamento, arquivá-los ou excluí-los após um período especificado). | |
| CP-06 (02) | A organização configura o local de armazenamento alternativo para facilitar as operações de recuperação de acordo com os objetivos de tempo e ponto de recuperação. | O recurso de backup do Amazon RDS cria backups dos bancos de dados e logs de transações. O Amazon RDS cria automaticamente um instantâneo do volume de armazenamento da instância de banco de dados, fazendo backup de toda a instância de banco de dados. O sistema permite que você defina períodos de retenção específicos para atender aos requisitos de resiliência. | |
| CP-06 (02) | A organização configura o local de armazenamento alternativo para facilitar as operações de recuperação de acordo com os objetivos de tempo e ponto de recuperação. | O ajuste de escala automático do Amazon DynamoDB usa o serviço AWS Application Auto Scaling para ajustar a capacidade de throughput provisionado que responde automaticamente a padrões de tráfego reais. Isso permite que uma tabela ou um índice secundário global aumente a capacidade provisionada de leitura e gravação para processar aumentos repentinos no tráfego, sem controle de utilização. | |
| CP-06 (02) | A organização configura o local de armazenamento alternativo para facilitar as operações de recuperação de acordo com os objetivos de tempo e ponto de recuperação. | Habilite essa regra para verificar se o backup das informações foi realizado. Ela também mantém os backups ao garantir que a recuperação para um ponto no tempo seja habilitada no Amazon DynamoDB. A recuperação mantém backups contínuos da tabela nos últimos 35 dias. | |
| CP-06 (02) | A organização configura o local de armazenamento alternativo para facilitar as operações de recuperação de acordo com os objetivos de tempo e ponto de recuperação. | Quando os backups automáticos são habilitados, o Amazon ElastiCache cria um backup do cluster diariamente. O backup pode ser retido por vários dias, conforme especificado pela organização. Os backups automáticos podem ajudar a proteger contra a perda de dados. Em caso de falha, é possível criar um cluster e restaurar os dados usando o backup mais recente. | |
| CP-06 (02) | A organização configura o local de armazenamento alternativo para facilitar as operações de recuperação de acordo com os objetivos de tempo e ponto de recuperação. | O suporte multi-AZ no Amazon Relational Database Service (Amazon RDS) oferece maior disponibilidade e durabilidade para instâncias de banco de dados. Ao provisionar uma instância de banco de dados multi-AZ, o Amazon RDS cria automaticamente uma instância de banco de dados primária e replica de forma síncrona os dados em uma instância em modo de espera em outra zona de disponibilidade. Cada zona de disponibilidade funciona em sua própria infraestrutura independente e fisicamente distinta, além de ser projetada para ser altamente confiável. No caso de falha na infraestrutura, o Amazon RDS executa um failover automático no modo de espera para que você possa retomar as operações do banco de dados assim que o failover for concluído. | |
| CP-06 (02) | A organização configura o local de armazenamento alternativo para facilitar as operações de recuperação de acordo com os objetivos de tempo e ponto de recuperação. | A Replicação entre regiões (CRR) do Amazon Simple Storage Service (Amazon S3) é compatível com a manutenção de capacidade e disponibilidade adequadas. A CRR permite a cópia automática e assíncrona de objetos nos buckets do Amazon S3 para ajudar a garantir a manutenção da disponibilidade de dados. | |
| CP-06 (02) | A organização configura o local de armazenamento alternativo para facilitar as operações de recuperação de acordo com os objetivos de tempo e ponto de recuperação. | Túneis redundantes do VPN Site-to-Site podem ser implementados para atender aos requisitos de resiliência. Dois túneis são usados para ajudar a garantir a conectividade caso uma das conexões do VPN Site-to-Site fique indisponível. A indisponibilidade do gateway do cliente acarreta a perda de conectividade. Para se proteger, use um segundo gateway do cliente e configure uma segunda conexão do VPN Site-to-Site para o Amazon Virtual Private Cloud (Amazon VPC) e para o gateway privado virtual. | |
| CP-07 (01) | A organização identifica um local de processamento alternativo suficientemente separado do local de processamento principal para reduzir a suscetibilidade às mesmas ameaças. | O suporte multi-AZ no Amazon Relational Database Service (Amazon RDS) oferece maior disponibilidade e durabilidade para instâncias de banco de dados. Ao provisionar uma instância de banco de dados multi-AZ, o Amazon RDS cria automaticamente uma instância de banco de dados primária e replica de forma síncrona os dados em uma instância em modo de espera em outra zona de disponibilidade. Cada zona de disponibilidade funciona em sua própria infraestrutura independente e fisicamente distinta, além de ser projetada para ser altamente confiável. No caso de falha na infraestrutura, o Amazon RDS executa um failover automático no modo de espera para que você possa retomar as operações do banco de dados assim que o failover for concluído. | |
| CP-07 (04) | A organização prepara o local de processamento alternativo para que o local possa servir como local operacional de suporte às funções essenciais da missão e do negócio. | Para ajudar nos processos de backup de dados, o plano do AWS Backup deve ser definido para uma frequência e retenção mínimas. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups. Essa regra permite definir os parâmetros requiredFrequencyValue (padrão do Config: 1), requiredRetentionDays (padrão do Config: 35) e requiredFrequencyUnit (padrão do Config: dias). O valor real deve refletir os requisitos da organização. | |
| CP-07 (04) | A organização prepara o local de processamento alternativo para que o local possa servir como local operacional de suporte às funções essenciais da missão e do negócio. | Verifica se um ponto de recuperação está criptografado. A preparação do local inclui estabelecer definições de configuração para sistemas no local de processamento alternativo de acordo com os requisitos de tais configurações no local primário e garantir que os suprimentos essenciais e as considerações logísticas estejam em vigor. | |
| CP-07 (04) | A organização prepara o local de processamento alternativo para que o local possa servir como local operacional de suporte às funções essenciais da missão e do negócio. | Verifica se um cofre de backup tem uma política baseada em recursos vinculada que impede a exclusão de pontos de recuperação. A preparação do local inclui estabelecer definições de configuração para sistemas no local de processamento alternativo de acordo com os requisitos de tais configurações no local primário e garantir que os suprimentos essenciais e as considerações logísticas estejam em vigor. | |
| CP-07 (04) | A organização prepara o local de processamento alternativo para que o local possa servir como local operacional de suporte às funções essenciais da missão e do negócio. | Verifica se você habilitou a replicação entre regiões do Amazon S3 para seus buckets do Amazon S3. A preparação do local inclui estabelecer definições de configuração para sistemas no local de processamento alternativo de acordo com os requisitos de tais configurações no local primário e garantir que os suprimentos essenciais e as considerações logísticas estejam em vigor. | |
| CP-09 (03) | A organização armazena cópias de backup de [Atribuição: software de sistema crítico definido pela organização e outras informações relacionadas à segurança] em uma instalação separada ou em um contêiner à prova de incêndio que não esteja colocado no sistema operacional. | Verifica se um ponto de recuperação não expira antes do período especificado. O armazenamento separado para informações críticas se aplica a todas as informações críticas, independentemente do tipo de mídia de armazenamento de backup. O software de sistema crítico inclui sistemas operacionais, middleware, sistemas de gerenciamento de chaves criptográficas e sistemas de detecção de intrusões. As informações relacionadas à segurança incluem inventários de componentes de hardware, software e firmware do sistema. Locais de armazenamento alternativos, incluindo arquiteturas distribuídas geograficamente, servem como instalações de armazenamento separadas para organizações. As organizações podem fornecer armazenamento separado implementando processos de backup automatizados em locais de armazenamento alternativos (por exemplo, data centers). A Administração de Serviços Gerais (GSA) estabelece padrões e especificações para contêineres de segurança e proteção contra incêndio. | |
| CP-09 (03) | A organização armazena cópias de backup de [Atribuição: software de sistema crítico definido pela organização e outras informações relacionadas à segurança] em uma instalação separada ou em um contêiner à prova de incêndio que não esteja colocado no sistema operacional. | Para ajudar nos processos de backup de dados, os recursos do Amazon Aurora devem fazer parte de um plano do AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups. | |
| CP-09 (03) | A organização armazena cópias de backup de [Atribuição: software de sistema crítico definido pela organização e outras informações relacionadas à segurança] em uma instalação separada ou em um contêiner à prova de incêndio que não esteja colocado no sistema operacional. | Para ajudar nos processos de backup de dados, os recursos do Amazon Elastic Block Store (Amazon EBS) devem fazer parte de um plano do AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups. | |
| CP-09 (03) | A organização armazena cópias de backup de [Atribuição: software de sistema crítico definido pela organização e outras informações relacionadas à segurança] em uma instalação separada ou em um contêiner à prova de incêndio que não esteja colocado no sistema operacional. | Para ajudar nos processos de backup de dados, os sistemas de arquivos do Amazon Elastic File System (Amazon EFS) devem fazer parte de um plano do AWS backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups. | |
| CP-09 (03) | A organização armazena cópias de backup de [Atribuição: software de sistema crítico definido pela organização e outras informações relacionadas à segurança] em uma instalação separada ou em um contêiner à prova de incêndio que não esteja colocado no sistema operacional. | Para ajudar nos processos de backup de dados, garanta que suas instâncias do Amazon Relational Database Service (Amazon RDS) façam parte de um plano do AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups. | |
| CP-09 (03) | A organização armazena cópias de backup de [Atribuição: software de sistema crítico definido pela organização e outras informações relacionadas à segurança] em uma instalação separada ou em um contêiner à prova de incêndio que não esteja colocado no sistema operacional. | Para ajudar nos processos de backup de dados, certifique-se de que os buckets do Amazon Simple Storage Service (Amazon S3) façam parte de um plano AWS Backup. AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups. | |
| CP-09 (03) | A organização armazena cópias de backup de [Atribuição: software de sistema crítico definido pela organização e outras informações relacionadas à segurança] em uma instalação separada ou em um contêiner à prova de incêndio que não esteja colocado no sistema operacional. | Para ajudar nos processos de backup de dados, os sistemas de arquivos do Amazon FSx devem fazer parte de um plano do AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups. | |
| CP-09 (03) | A organização armazena cópias de backup de [Atribuição: software de sistema crítico definido pela organização e outras informações relacionadas à segurança] em uma instalação separada ou em um contêiner à prova de incêndio que não esteja colocado no sistema operacional. | Para ajudar nos processos de backup de dados, os recursos do Amazon DynamoDB devem fazer parte de um plano do AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups. | |
| CP-09 (03) | A organização armazena cópias de backup de [Atribuição: software de sistema crítico definido pela organização e outras informações relacionadas à segurança] em uma instalação separada ou em um contêiner à prova de incêndio que não esteja colocado no sistema operacional. | Para ajudar nos processos de backup de dados, os recursos do Amazon Elastic Compute Cloud (Amazon EC2) devem fazer parte de um plano do AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups. | |
| CP-09 (03) | A organização armazena cópias de backup de [Atribuição: software de sistema crítico definido pela organização e outras informações relacionadas à segurança] em uma instalação separada ou em um contêiner à prova de incêndio que não esteja colocado no sistema operacional. | A Replicação entre regiões (CRR) do Amazon Simple Storage Service (Amazon S3) é compatível com a manutenção de capacidade e disponibilidade adequadas. A CRR permite a cópia automática e assíncrona de objetos nos buckets do Amazon S3 para ajudar a garantir a manutenção da disponibilidade de dados. | |
| CP-09 (05) | A organização transfere informações de backup do sistema para o local de armazenamento alternativo [Atribuição: período de tempo e taxa de transferência definidos pela organização consistente com os objetivos do tempo de recuperação e ponto de recuperação]. | A Replicação entre regiões (CRR) do Amazon Simple Storage Service (Amazon S3) é compatível com a manutenção de capacidade e disponibilidade adequadas. A CRR permite a cópia automática e assíncrona de objetos nos buckets do Amazon S3 para ajudar a garantir a manutenção da disponibilidade de dados. | |
| CP-09 (05) | A organização transfere informações de backup do sistema para o local de armazenamento alternativo [Atribuição: período de tempo e taxa de transferência definidos pela organização consistente com os objetivos do tempo de recuperação e ponto de recuperação]. | Verifica se um ponto de recuperação não expira antes do período especificado. | |
| CP-09 (05) | A organização transfere informações de backup do sistema para o local de armazenamento alternativo [Atribuição: período de tempo e taxa de transferência definidos pela organização consistente com os objetivos do tempo de recuperação e ponto de recuperação]. | Para ajudar nos processos de backup de dados, o plano do AWS Backup deve ser definido para uma frequência e retenção mínimas. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups. Essa regra permite definir os parâmetros requiredFrequencyValue (padrão do Config: 1), requiredRetentionDays (padrão do Config: 35) e requiredFrequencyUnit (padrão do Config: dias). O valor real deve refletir os requisitos da organização. | |
| CP-09 (05) | A organização transfere informações de backup do sistema para o local de armazenamento alternativo [Atribuição: período de tempo e taxa de transferência definidos pela organização consistente com os objetivos do tempo de recuperação e ponto de recuperação]. | Habilite essa regra para verificar se o backup das informações foi realizado. Ela também mantém os backups ao garantir que a recuperação para um ponto no tempo seja habilitada no Amazon DynamoDB. A recuperação mantém backups contínuos da tabela nos últimos 35 dias. | |
| CP-09 (05) | A organização transfere informações de backup do sistema para o local de armazenamento alternativo [Atribuição: período de tempo e taxa de transferência definidos pela organização consistente com os objetivos do tempo de recuperação e ponto de recuperação]. | O suporte multi-AZ no Amazon Relational Database Service (Amazon RDS) oferece maior disponibilidade e durabilidade para instâncias de banco de dados. Ao provisionar uma instância de banco de dados multi-AZ, o Amazon RDS cria automaticamente uma instância de banco de dados primária e replica de forma síncrona os dados em uma instância em modo de espera em outra zona de disponibilidade. Cada zona de disponibilidade funciona em sua própria infraestrutura independente e fisicamente distinta, além de ser projetada para ser altamente confiável. No caso de falha na infraestrutura, o Amazon RDS executa um failover automático no modo de espera para que você possa retomar as operações do banco de dados assim que o failover for concluído. | |
| CP-09 (08) | A organização emprega mecanismos criptográficos para impedir a divulgação não autorizada de informações de backup. | A seleção de mecanismos de criptografia se baseia na necessidade de proteger a confidencialidade e a integridade das informações de backup. A força dos mecanismos selecionados é compatível com a categoria de segurança ou classificação das informações. A proteção criptográfica se aplica às informações de backup do sistema armazenadas em locais primários e alternativos. Organizações que implementam mecanismos criptográficos para proteger informações em repouso também consideram soluções de gerenciamento de chaves criptográficas. | |
| CP-10 (04) | A organização fornece a capacidade de restaurar componentes do sistema dentro de [Atribuição: períodos de tempo de restauração definidos pela organização] de informações controladas pela configuração e protegidas pela integridade que representam um estado operacional conhecido dos componentes. | Habilite essa regra para verificar se um ponto de recuperação está criptografado. | |
| CP-10 (04) | A organização fornece a capacidade de restaurar componentes do sistema dentro de [Atribuição: períodos de tempo de restauração definidos pela organização] de informações controladas pela configuração e protegidas pela integridade que representam um estado operacional conhecido dos componentes. | Habilite essa regra para verificar se um ponto de recuperação não expira antes do período especificado. | |
| CP-10 (04) | A organização fornece a capacidade de restaurar componentes do sistema dentro de [Atribuição: períodos de tempo de restauração definidos pela organização] de informações controladas pela configuração e protegidas pela integridade que representam um estado operacional conhecido dos componentes. | Habilite essa regra para verificar se o backup das informações foi realizado. Ela também mantém os backups ao garantir que a recuperação para um ponto no tempo seja habilitada no Amazon DynamoDB. A recuperação mantém backups contínuos da tabela nos últimos 35 dias. | |
| CP-10 (04) | A organização fornece a capacidade de restaurar componentes do sistema dentro de [Atribuição: períodos de tempo de restauração definidos pela organização] de informações controladas pela configuração e protegidas pela integridade que representam um estado operacional conhecido dos componentes. | Habilite a proteção contra exclusão das instâncias do Amazon Relational Database Service (Amazon RDS). Use a proteção contra exclusão para evitar que as instâncias do Amazon RDS sejam excluídas de forma acidental ou mal-intencionada, o que pode levar à perda de disponibilidade das aplicações. | |
| CP-10 (04) | A organização fornece a capacidade de restaurar componentes do sistema dentro de [Atribuição: períodos de tempo de restauração definidos pela organização] de informações controladas pela configuração e protegidas pela integridade que representam um estado operacional conhecido dos componentes. | O versionamento do bucket do Amazon Simple Storage Service (Amazon S3) ajuda a manter diversas variantes de um objeto no mesmo bucket do Amazon S3. Use o versionamento para preservar, recuperar e restaurar todas as versões de cada objeto armazenado no bucket do Amazon S3. O versionamento ajuda você a se recuperar facilmente de ações não intencionais de usuários e de falhas da aplicação. | |
| IA-02 (02) | Implementar autenticação multifator para acesso a contas não privilegiadas | Habilite essa regra para restringir o acesso a recursos na Nuvem AWS. Essa regra garante que a autenticação multifator (MFA) esteja habilitada para todos os usuários. A MFA adiciona uma camada extra de proteção, além das credenciais de login. Reduza os incidentes de contas comprometidas exigindo que os usuários utilizem a MFA. | |
| IA-02 (02) | Implementar autenticação multifator para acesso a contas não privilegiadas | Gerencie o acesso a recursos na Nuvem AWS garantindo que a MFA seja habilitada para todos os usuários do IAM (AWS Identity and Access Management) que têm uma senha de console. A MFA adiciona uma camada extra de proteção, além das credenciais de login. Ao exigir que os usuários utilizem a MFA, você reduz os incidentes de contas comprometidas e impede que dados confidenciais sejam acessados por usuários não autorizados. | |
| IA-02 (06) | O sistema de informações implementa autenticação multifatorial para acesso [Seleção (uma ou mais): local; de rede; remoto] a [Seleção (uma ou mais): contas privilegiadas; contas não privilegiadas], de modo que: (a) Um dos fatores seja fornecido por um dispositivo separado do sistema que está obtendo acesso e (b) O dispositivo atenda [Atribuição: requisitos de força do mecanismo definidos pela organização]. | Habilite essa regra para restringir o acesso a recursos na Nuvem AWS. Essa regra garante que a autenticação multifator (MFA) esteja habilitada para todos os usuários. A MFA adiciona uma camada extra de proteção, além das credenciais de login. Reduza os incidentes de contas comprometidas exigindo que os usuários utilizem a MFA. | |
| IA-02 (06) | O sistema de informações implementa autenticação multifatorial para acesso [Seleção (uma ou mais): local; de rede; remoto] a [Seleção (uma ou mais): contas privilegiadas; contas não privilegiadas], de modo que: (a) Um dos fatores seja fornecido por um dispositivo separado do sistema que está obtendo acesso e (b) O dispositivo atenda [Atribuição: requisitos de força do mecanismo definidos pela organização]. | Gerencie o acesso a recursos na Nuvem AWS garantindo que a MFA seja habilitada para todos os usuários do IAM (AWS Identity and Access Management) que têm uma senha de console. A MFA adiciona uma camada extra de proteção, além das credenciais de login. Ao exigir que os usuários utilizem a MFA, você reduz os incidentes de contas comprometidas e impede que dados confidenciais sejam acessados por usuários não autorizados. | |
| IA-02 (08) | O sistema de informação implementa mecanismos de autenticação resistentes à repetição para acesso a [Seleção (uma ou mais): contas privilegiadas; contas não privilegiadas]. | Gerencie o acesso a recursos na Nuvem AWS garantindo que a MFA seja habilitada para todos os usuários do IAM (AWS Identity and Access Management) que têm uma senha de console. A MFA adiciona uma camada extra de proteção, além das credenciais de login. Ao exigir que os usuários utilizem a MFA, você reduz os incidentes de contas comprometidas e impede que dados confidenciais sejam acessados por usuários não autorizados. | |
| IA-05 (08) | O sistema de informações implementa [Atribuição: controles de segurança definidos pela organização] para gerenciar o risco de comprometimento devido ao fato de indivíduos terem contas em vários sistemas. | As identidades e as credenciais são emitidas, gerenciadas e verificadas com base em uma política organizacional de senhas do IAM. Elas atendem ou excedem os requisitos estabelecidos pelo NIST SP 800-63 e pelo padrão Práticas Recomendadas de Segurança Básica da AWS para a força da senha. Esta regra permite que você defina opcionalmente RequireUppercaseCharacters (valor do Práticas Recomendadas de Segurança Básica da AWS (AWS FSBP): true), RequireLowercaseCharacters (valor do Práticas Recomendadas de Segurança Básica da AWS: true), RequireSymbols (valor do Práticas Recomendadas de Segurança Básica da AWS: true), RequireNumbers (valor do Práticas Recomendadas de Segurança Básica da AWS: true), MinimumPasswordLength (valor do Práticas Recomendadas de Segurança Básica da AWS: 14), PasswordReusePrevention (valor do Práticas Recomendadas de Segurança Básica da AWS: 24) e MaxPasswordAge (valor do Práticas Recomendadas de Segurança Básica da AWS: 90) para sua política de senha do IAM. Os valores reais devem refletir as políticas da organização. | |
| IA-05 (08) | O sistema de informações implementa [Atribuição: controles de segurança definidos pela organização] para gerenciar o risco de comprometimento devido ao fato de indivíduos terem contas em vários sistemas. | Habilite essa regra para restringir o acesso a recursos na Nuvem AWS. Esta regra garante que a autenticação multifator (MFA) esteja habilitada para todos os usuários. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Reduza os incidentes de contas comprometidas exigindo MFA para usuários do IAM. | |
| IA-05 (08) | O sistema de informações implementa [Atribuição: controles de segurança definidos pela organização] para gerenciar o risco de comprometimento devido ao fato de indivíduos terem contas em vários sistemas. | O acesso a sistemas e ativos pode ser controlado verificando se o usuário raiz não tem chaves de acesso anexadas ao seu perfil do AWS Identity and Access Management (IAM). Exclua as chaves de acesso raiz. Em vez disso, crie e use contas da AWS baseadas em perfis para ajudar a incorporar o princípio da funcionalidade mínima. | |
| IA-05 (08) | O sistema de informações implementa [Atribuição: controles de segurança definidos pela organização] para gerenciar o risco de comprometimento devido ao fato de indivíduos terem contas em vários sistemas. | O AWS Identity and Access Management (IAM) pode ajudar com permissões e autorizações de acesso verificando as senhas e chaves de acesso do IAM que não são usadas por um período especificado. Se essas credenciais não utilizadas forem identificadas, você deverá desabilitar e/ou removê-las, pois isso pode violar o princípio de privilégio mínimo. Essa regra exige que você defina um valor para maxCredentialUsageAge (padrão do Config: 90). O valor real deve refletir as políticas da organização. | |
| IA-05 (08) | O sistema de informações implementa [Atribuição: controles de segurança definidos pela organização] para gerenciar o risco de comprometimento devido ao fato de indivíduos terem contas em vários sistemas. | O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham "Effect": "Allow" com "Action": "*" por "Resource": "*". Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres. | |
| IA-05 (08) | O sistema de informações implementa [Atribuição: controles de segurança definidos pela organização] para gerenciar o risco de comprometimento devido ao fato de indivíduos terem contas em vários sistemas. | O AWS Identity and Access Management (IAM) pode ajudar a a restringir permissões e autorizações de acesso, garantindo que os usuários do IAM sejam membros de pelo menos um grupo. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres. | |
| IR-04 (04) | A organização emprega mecanismos automatizados para correlacionar informações de incidentes e respostas individuais a incidentes para obter uma perspectiva de toda a organização sobre a conscientização e a resposta a incidentes. | O AWS Security Hub ajuda a monitorar equipes, conexões, dispositivos e software não autorizados. O AWS Security Hub agrega, organiza e prioriza os alertas de segurança ou as descobertas de vários serviços da AWS. Alguns desses serviços são o Amazon Security Hub, o Amazon Inspector, o Amazon Macie, o AWS Identity and Access Management (IAM) Access Analyzer e o AWS Firewall Manager, além de soluções de parceiros da AWS. | |
| IR-04 (04) | A organização emprega mecanismos automatizados para correlacionar informações de incidentes e respostas individuais a incidentes para obter uma perspectiva de toda a organização sobre a conscientização e a resposta a incidentes. | O Amazon GuardDuty pode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência contra ameaças. Isso inclui listas de IPs maliciosos e machine learning para identificar atividades inesperadas, não autorizadas e mal-intencionadas em seu ambiente na Nuvem AWS. | |
| IR-04 (04) | A organização emprega mecanismos automatizados para correlacionar informações de incidentes e respostas individuais a incidentes para obter uma perspectiva de toda a organização sobre a conscientização e a resposta a incidentes. | A coleta de eventos de dados do Simple Storage Service (Amazon S3) ajuda a detectar qualquer atividade anômala. Os detalhes incluem informações da conta da AWS que acessou um bucket do Amazon S3, o endereço IP e o horário do evento. | |
| IR-04 (04) | A organização emprega mecanismos automatizados para correlacionar informações de incidentes e respostas individuais a incidentes para obter uma perspectiva de toda a organização sobre a conscientização e a resposta a incidentes. | Os alarmes do Amazon CloudWatch alertam quando uma métrica ultrapassa o limite de um número especificado de períodos de avaliação. O alarme executa uma ou mais ações com base no valor da métrica ou na expressão em relação a um limite em alguns períodos. Essa regra exige um valor para alarmActionRequired (padrão do Config: verdadeiro), insufficientDataActionRequired (padrão do Config: verdadeiro), okActionRequired (padrão do Config: falso). O valor real deve refletir as ações de alarme do ambiente. | |
| IR-04 (04) | A organização emprega mecanismos automatizados para correlacionar informações de incidentes e respostas individuais a incidentes para obter uma perspectiva de toda a organização sobre a conscientização e a resposta a incidentes. | Use o Amazon CloudWatch para coletar e gerenciar centralmente a atividade de eventos de logs. A inclusão dos dados do AWS CloudTrail fornece detalhes da atividade de chamadas da API em sua conta da AWS. | |
| RA-05 | Monitore e verifique se há vulnerabilidades, aplicativos hospedados e quando novas vulnerabilidades potencialmente afetam o sistema são identificadas e relatadas | O Amazon GuardDuty pode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência contra ameaças. Isso inclui listas de IPs maliciosos e machine learning para identificar atividades inesperadas, não autorizadas e mal-intencionadas em seu ambiente na Nuvem AWS. | |
| RA-05 | Defina a amplitude e a profundidade da cobertura de verificação de vulnerabilidades. | Confere se a verificação padrão do Amazon Inspector V2 Lambda está ativada para seu ambiente de uma ou várias contas para detectar possíveis vulnerabilidades de software. A regra será NON_COMPLIANT se a verificação padrão do Lambda não estiver ativada. | |
| RA-05 | Defina a amplitude e a profundidade da cobertura de verificação de vulnerabilidades. | Confere se a verificação do Amazon Inspector V2 EC2 está ativada para seu ambiente de uma ou várias contas para detectar possíveis vulnerabilidades e problemas de acessibilidade de rede em suas instâncias do EC2. A regra será NON_COMPLIANT se a verificação do EC2 não estiver habilitada. | |
| RA-05 | Defina a amplitude e a profundidade da cobertura de verificação de vulnerabilidades. | Confere se a verificação do Amazon Inspector V2 ECR está ativada para seu ambiente de uma ou várias contas para detectar possíveis vulnerabilidades em suas imagens de contêiner. A regra será NON_COMPLIANT se a verificação do ECR não estiver habilitada. | |
| RA-05 (03) | Defina a amplitude e a profundidade da cobertura de verificação de vulnerabilidades. | Confere se a verificação padrão do Amazon Inspector V2 Lambda está ativada para seu ambiente de uma ou várias contas para detectar possíveis vulnerabilidades de software. A regra será NON_COMPLIANT se a verificação padrão do Lambda não estiver ativada. | |
| RA-05 (03) | Defina a amplitude e a profundidade da cobertura de verificação de vulnerabilidades. | Confere se a verificação do Amazon Inspector V2 EC2 está ativada para seu ambiente de uma ou várias contas para detectar possíveis vulnerabilidades e problemas de acessibilidade de rede em suas instâncias do EC2. A regra será NON_COMPLIANT se a verificação do EC2 não estiver habilitada. | |
| RA-05 (03) | Defina a amplitude e a profundidade da cobertura de verificação de vulnerabilidades. | Confere se a verificação do Amazon Inspector V2 ECR está ativada para seu ambiente de uma ou várias contas para detectar possíveis vulnerabilidades em suas imagens de contêiner. A regra será NON_COMPLIANT se a verificação do ECR não estiver habilitada. | |
| RA-05 (05) | Implemente a autorização de acesso privilegiado a [Atribuição: componentes do sistema definidos pela organização] para verificação da organização. (Especifica todos os componentes que oferecem suporte à autenticação e a todas as verificações) | Confere se a verificação do Amazon Inspector V2 EC2 está ativada para seu ambiente de uma ou várias contas para detectar possíveis vulnerabilidades e problemas de acessibilidade de rede em suas instâncias do EC2. A regra será NON_COMPLIANT se a verificação do EC2 não estiver habilitada. | |
| SA-10 | A organização exige que o desenvolvedor do sistema, o componente do sistema ou o serviço do sistema: a. Execute o gerenciamento de configuração durante o(a) [Seleção (uma ou mais): design; desenvolvimento; implementação; operação; descarte]; do sistema, componente ou serviço. b. Documente, gerencie e controle a integridade das alterações em [Atribuição: itens de configuração definidos pela organização sob gerenciamento de configuração]; (c) Implemente somente as alterações aprovadas pela organização no sistema, no componente ou no serviço; (d) Documente as alterações aprovadas no sistema, no componente ou no serviço e os possíveis impactos de segurança e na privacidade das mudanças; e. Rastreie as falhas de segurança e a resolução de falhas no sistema, componente ou serviço e relate as descobertas para [Atribuição: pessoal definido pela organização]. | É possível ter um inventário das plataformas e aplicações de software na organização ao gerenciar instâncias do Amazon Elastic Compute Cloud (Amazon EC2) com o AWS Systems Manager. Use o AWS Systems Manager para fornecer configurações detalhadas do sistema, níveis de patch do sistema operacional, nome e tipo de serviços, instalações de software, nome da aplicação, publicador e versão, além de outros detalhes sobre seu ambiente. | |
| SC-07 (12) | A organização implementa [Atribuição: mecanismos de proteção de limites baseados em host definidos pela organização] em [Atribuição: componentes do sistema definidos pela organização]. | Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode permitir ataques contra a disponibilidade, a integridade e a confidencialidade dos sistemas. Ao restringir o acesso a recursos em um grupo de segurança da internet (0.0.0.0/0), o acesso remoto pode ser controlado para sistemas internos. | |
| SC-07 (20) | Forneça a capacidade de isolar dinamicamente [Atribuição: componentes do sistema definidos pela organização] de outros componentes do sistema. | Para ajudar com o registro em log e o monitoramento em seu ambiente, habilite o registro em log do AWS WAF (V2) em ACLs da web regionais e globais. O registro em log do AWS WAF fornece informações detalhadas sobre o tráfego que é analisado pela ACL da web. Os logs registram a hora em que o AWS WAF recebeu a solicitação do recurso da AWS, informações sobre a solicitação e uma ação para a regra à qual cada solicitação correspondeu. | |
| SC-07 (21) | Empregue mecanismos de proteção de limites para isolar [Atribuição: componentes do sistema definidos pela organização] que oferecem suporte a [Atribuição: missões definidas pela organização e/ou funções de negócios]. | Implemente instâncias do Amazon Elastic Compute Cloud (Amazon EC2) em um Amazon Virtual Private Cloud (Amazon VPC) para permitir a comunicação segura entre uma instância e outros serviços no Amazon VPC, sem exigir um gateway da Internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece com segurança na Nuvem AWS. Devido ao seu isolamento lógico, os domínios que residem no Amazon VPC contam com uma camada adicional de segurança se comparados aos domínios que utilizam endpoints públicos. Atribua instâncias do Amazon EC2 a um Amazon VPC para gerenciar adequadamente o acesso. | |
| SC-07(21) | Empregue mecanismos de proteção de limites para isolar [Atribuição: componentes do sistema definidos pela organização] que oferecem suporte a [Atribuição: missões definidas pela organização e/ou funções de negócios]. | Implemente funções do AWS Lambda no Amazon Virtual Private Cloud (Amazon VPC) para estabelecer uma comunicação segura entre uma função e outros serviços no Amazon VPC. Com essa configuração, não há necessidade de um gateway da Internet, dispositivo NAT ou conexão VPN. Todo tráfego é mantido seguro na Nuvem AWS. Devido ao seu isolamento lógico, os domínios que residem no Amazon VPC contam com uma camada adicional de segurança se comparados aos domínios que utilizam endpoints públicos. Para gerenciar adequadamente o acesso, as funções do AWS Lambda devem ser atribuídas a uma VPC. | |
| SC-12 (01) | Estabeleça e gerencie chaves criptográficas quando a criptografia for empregada no sistema de acordo com os seguintes requisitos de gerenciamento de chaves: [Atribuição: requisitos definidos pela organização para geração, distribuição, armazenamento, acesso e destruição de chaves]. | O AWS CloudTrail pode ajudar no não repúdio ao registrar ações e chamadas de API do Console de Gerenciamento da AWS. É possível identificar os usuários e as contas da AWS que chamaram um serviço da AWS, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são encontrados no conteúdo do registro do AWS CloudTrail. | |
| SC-28 (01) | A organização implementa mecanismos de criptografia para evitar a divulgação e a modificação não autorizadas das seguintes informações em repouso em [Atribuição: componentes ou mídia do sistema definidos pela organização]: [Atribuição: informações definidas pela organização]. | Habilite a criptografia para as tabelas do Amazon DynamoDB. Como pode haver dados confidenciais em repouso nessas tabelas, habilite a criptografia em repouso para ajudar a protegê-los. Por padrão, as tabelas do DynamoDB são criptografadas com uma chave mestra de cliente (CMK) pertencente à AWS. | |
| SC-28 (01) | A organização implementa mecanismos de criptografia para evitar a divulgação e a modificação não autorizadas das seguintes informações em repouso em [Atribuição: componentes ou mídia do sistema definidos pela organização]: [Atribuição: informações definidas pela organização]. | Para ajudar a proteger os dados em repouso, habilite a criptografia para os volumes do Amazon Elastic Block Store (Amazon EBS). Como pode haver dados confidenciais em repouso nesses volumes, habilite a criptografia em repouso para ajudar a protegê-los. | |
| SC-28 (01) | A organização implementa mecanismos de criptografia para evitar a divulgação e a modificação não autorizadas das seguintes informações em repouso em [Atribuição: componentes ou mídia do sistema definidos pela organização]: [Atribuição: informações definidas pela organização]. | Como pode haver dados confidenciais, e para ajudar a proteger os dados em repouso, habilite a criptografia para o Amazon Kinesis Streams. | |
| SC-28 (01) | A organização implementa mecanismos de criptografia para evitar a divulgação e a modificação não autorizadas das seguintes informações em repouso em [Atribuição: componentes ou mídia do sistema definidos pela organização]: [Atribuição: informações definidas pela organização]. | Habilite a criptografia para os instantâneos do Amazon Relational Database Service (Amazon RDS). Como pode haver dados confidenciais em repouso, habilite a criptografia em repouso para ajudar a protegê-los. | |
| SC-28 (01) | A organização implementa mecanismos de criptografia para evitar a divulgação e a modificação não autorizadas das seguintes informações em repouso em [Atribuição: componentes ou mídia do sistema definidos pela organização]: [Atribuição: informações definidas pela organização]. | Habilite a criptografia para os buckets do Amazon Simple Storage Service (Amazon S3). Como pode haver dados confidenciais em repouso em um bucket do Amazon S3, habilite a criptografia em repouso para ajudar a protegê-los. | |
| SC-28 (01) | A organização implementa mecanismos de criptografia para evitar a divulgação e a modificação não autorizadas das seguintes informações em repouso em [Atribuição: componentes ou mídia do sistema definidos pela organização]: [Atribuição: informações definidas pela organização]. | Para ajudar a proteger os dados em repouso, habilite a criptografia com o AWS Key Management Service (AWS KMS) para o caderno do SageMaker. Como pode haver dados confidenciais em repouso no cadernodo SageMaker, habilite a criptografia em repouso para ajudar a protegê-los. | |
| SC-28 (01) | A organização implementa mecanismos de criptografia para evitar a divulgação e a modificação não autorizadas das seguintes informações em repouso em [Atribuição: componentes ou mídia do sistema definidos pela organização]: [Atribuição: informações definidas pela organização]. | Para ajudar a proteger os dados em repouso, use o AWS Key Management Service (AWS KMS) para garantir que os tópicos do Amazon Simple Notification Service (Amazon SNS) exijam criptografia. Como pode haver dados confidenciais em repouso em mensagens publicadas, habilite a criptografia em repouso para ajudar a protegê-los. | |
| SC-28 (01) | A organização implementa mecanismos de criptografia para evitar a divulgação e a modificação não autorizadas das seguintes informações em repouso em [Atribuição: componentes ou mídia do sistema definidos pela organização]: [Atribuição: informações definidas pela organização]. | Para ajudar a proteger os dados em repouso, habilite a criptografia para o cache do estágio do API Gateway. Como dados confidenciais podem ser capturados para o método da API, habilite a criptografia em repouso para ajudar a protegê-los. | |
| SC-28 (01) | A organização implementa mecanismos de criptografia para evitar a divulgação e a modificação não autorizadas das seguintes informações em repouso em [Atribuição: componentes ou mídia do sistema definidos pela organização]: [Atribuição: informações definidas pela organização]. | Como pode haver dados confidenciais, e para ajudar a proteger os dados em repouso, habilite a criptografia para as trilhas do AWS CloudTrail. | |
| SC-28 (01) | A organização implementa mecanismos de criptografia para evitar a divulgação e a modificação não autorizadas das seguintes informações em repouso em [Atribuição: componentes ou mídia do sistema definidos pela organização]: [Atribuição: informações definidas pela organização]. | Como pode haver dados confidenciais, e para ajudar a proteger os dados em repouso, habilite a criptografia para o Amazon Elastic File System (EFS). | |
| SC-28 (01) | A organização implementa mecanismos de criptografia para evitar a divulgação e a modificação não autorizadas das seguintes informações em repouso em [Atribuição: componentes ou mídia do sistema definidos pela organização]: [Atribuição: informações definidas pela organização]. | Como pode haver dados confidenciais, e para ajudar a proteger os dados em repouso, habilite a criptografia para os domínios do Amazon OpenSearch Service (OpenSearch Service). | |
| SC-28 (01) | A organização implementa mecanismos de criptografia para evitar a divulgação e a modificação não autorizadas das seguintes informações em repouso em [Atribuição: componentes ou mídia do sistema definidos pela organização]: [Atribuição: informações definidas pela organização]. | Como pode haver dados confidenciais, e para ajudar a proteger os dados em repouso, habilite a criptografia para os volumes do Amazon Elastic Block Store (Amazon EBS). | |
| SC-28 (01) | A organização implementa mecanismos de criptografia para evitar a divulgação e a modificação não autorizadas das seguintes informações em repouso em [Atribuição: componentes ou mídia do sistema definidos pela organização]: [Atribuição: informações definidas pela organização]. | Para ajudar a proteger os dados em repouso, habilite a criptografia para as instâncias do Amazon Relational Database Service (Amazon RDS). Como pode haver dados confidenciais em repouso nas instâncias do Amazon RDS, habilite a criptografia em repouso para ajudar a protegê-los. | |
| SC-28 (01) | A organização implementa mecanismos de criptografia para evitar a divulgação e a modificação não autorizadas das seguintes informações em repouso em [Atribuição: componentes ou mídia do sistema definidos pela organização]: [Atribuição: informações definidas pela organização]. | Para proteger os dados em repouso, habilite a criptografia para os clusters do Amazon Redshift. Implante também as configurações necessárias nos clusters do Amazon Redshift. O registro em log de auditoria deve ser habilitado para fornecer informações sobre conexões e atividades do usuário no banco de dados. Essa regra exige que um valor seja definido para clusterDbEncrypted (padrão do Config: VERDADEIRO) e loggingEnabled (padrão do Config: VERDADEIRO). Os valores reais devem refletir as políticas da organização. | |
| SC-28 (01) | A organização implementa mecanismos de criptografia para evitar a divulgação e a modificação não autorizadas das seguintes informações em repouso em [Atribuição: componentes ou mídia do sistema definidos pela organização]: [Atribuição: informações definidas pela organização]. | Para ajudar a proteger os dados em repouso, habilite a criptografia com o AWS Key Management Service (AWS KMS) para o cluster do Amazon Redshift. Como pode haver dados confidenciais em repouso nos clusters do Redshift, habilite a criptografia em repouso para ajudar a protegê-los. | |
| SC-28 (01) | A organização implementa mecanismos de criptografia para evitar a divulgação e a modificação não autorizadas das seguintes informações em repouso em [Atribuição: componentes ou mídia do sistema definidos pela organização]: [Atribuição: informações definidas pela organização]. | Para ajudar a proteger os dados em repouso, habilite a criptografia para os buckets do Amazon Simple Storage Service (Amazon S3). Como pode haver dados confidenciais em repouso nos buckets do Amazon S3, habilite a criptografia para ajudar a protegê-los. | |
| SC-28 (01) | A organização implementa mecanismos de criptografia para evitar a divulgação e a modificação não autorizadas das seguintes informações em repouso em [Atribuição: componentes ou mídia do sistema definidos pela organização]: [Atribuição: informações definidas pela organização]. | Para ajudar a proteger os dados em repouso, habilite a criptografia com o AWS Key Management Service (AWS KMS) para o endpoint do SageMaker. Como pode haver dados confidenciais em repouso no endpoint do SageMaker, habilite a criptografia em repouso para ajudar a protegê-los. | |
| SC-28 (01) | A organização implementa mecanismos de criptografia para evitar a divulgação e a modificação não autorizadas das seguintes informações em repouso em [Atribuição: componentes ou mídia do sistema definidos pela organização]: [Atribuição: informações definidas pela organização]. | Para ajudar a proteger os dados em repouso, habilite a criptografia com o AWS Key Management Service (AWS KMS) para os segredos do AWS Secrets Manager. Como pode haver dados confidenciais em repouso nos segredos do Secrets Manager, habilite a criptografia em repouso para ajudar a protegê-los. | |
| SI-04 (12) | Alerte [Atribuição: pessoal ou funções definidas pela organização] usando [Atribuição: mecanismos automatizados definidos pela organização] quando ocorrem as seguintes indicações de atividades inapropriadas ou incomuns com implicações de segurança ou privacidade: [Atribuição: atividades definidas pela organização que acionam alertas]. | Habilite essa regra para ajudar a notificar a equipe adequada por meio do Amazon Simple Queue Service (Amazon SQS) ou do Amazon Simple Notification Service (Amazon SNS) quando uma função falhar. | |
| SI-04 (20) | Implemente o seguinte monitoramento adicional de usuários privilegiados: [Atribuição: monitoramento adicional definido pela organização]. | O registro em log de acesso ao servidor do Amazon Simple Storage Service (Amazon S3) fornece um método para monitorar a rede em busca de possíveis eventos de segurança cibernética. Os eventos são monitorados pela captura de registros detalhados das solicitações que são feitas a um bucket do Amazon S3. Cada registro de log de acesso fornece detalhes sobre uma única solicitação de acesso. Os detalhes incluem solicitante, nome do bucket, horário da solicitação, ação da solicitação, status da resposta e um código de erro, se relevante. | |
| SI-04 (20) | Implemente o seguinte monitoramento adicional de usuários privilegiados: [Atribuição: monitoramento adicional definido pela organização]. | Habilite os logs de erros dos domínios do Amazon OpenSearch Service e transmita-os ao Amazon CloudWatch Logs para retenção e resposta. Os logs de erros do domínio podem auxiliar nas auditorias de segurança e acesso, além de ajudar a diagnosticar problemas de disponibilidade. | |
| SI-04 (20) | Implemente o seguinte monitoramento adicional de usuários privilegiados: [Atribuição: monitoramento adicional definido pela organização]. | O AWS CloudTrail registra as ações e as chamadas de API do Console de Gerenciamento da AWS. Você pode identificar quais usuários e contas chamaram a AWS, o endereço IP de origem do qual as chamadas foram feitas e quando elas ocorreram. O CloudTrail fornecerá os arquivos de log de todas as regiões da AWS para o bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, quando a AWS atender a uma nova região, o CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação. | |
| SI-04 (20) | Implemente o seguinte monitoramento adicional de usuários privilegiados: [Atribuição: monitoramento adicional definido pela organização]. | Use o Amazon CloudWatch para coletar e gerenciar centralmente a atividade de eventos de logs. A inclusão dos dados do AWS CloudTrail fornece detalhes da atividade de chamadas da API em sua conta da AWS. | |
| SI-04 (20) | Implemente o seguinte monitoramento adicional de usuários privilegiados: [Atribuição: monitoramento adicional definido pela organização]. | O AWS CloudTrail pode ajudar no não repúdio ao registrar ações e chamadas de API do Console de Gerenciamento da AWS. É possível identificar os usuários e as contas da AWS que chamaram um serviço da AWS, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são encontrados no conteúdo do registro do AWS CloudTrail. | |
| SI-04 (20) | Implemente o seguinte monitoramento adicional de usuários privilegiados: [Atribuição: monitoramento adicional definido pela organização]. | A coleta de eventos de dados do Simple Storage Service (Amazon S3) ajuda a detectar qualquer atividade anômala. Os detalhes incluem informações da conta da AWS que acessou um bucket do Amazon S3, o endereço IP e o horário do evento. | |
| SI-04 (20) | Implemente o seguinte monitoramento adicional de usuários privilegiados: [Atribuição: monitoramento adicional definido pela organização]. | Para ajudar no registro em log e no monitoramento em seu ambiente, habilite o registro em log do Amazon Relational Database Service (Amazon RDS). Com o registro em log do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas. | |
| SI-04 (20) | Implemente o seguinte monitoramento adicional de usuários privilegiados: [Atribuição: monitoramento adicional definido pela organização]. | Para proteger os dados em repouso, habilite a criptografia para os clusters do Amazon Redshift. Implante também as configurações necessárias nos clusters do Amazon Redshift. O registro em log de auditoria deve ser habilitado para fornecer informações sobre conexões e atividades do usuário no banco de dados. Essa regra exige que um valor seja definido para clusterDbEncrypted (padrão do Config: VERDADEIRO) e loggingEnabled (padrão do Config: VERDADEIRO). Os valores reais devem refletir as políticas da organização. | |
| SI-04 (20) | Implemente o seguinte monitoramento adicional de usuários privilegiados: [Atribuição: monitoramento adicional definido pela organização]. | O registro em log de acesso ao servidor do Amazon Simple Storage Service (Amazon S3) fornece um método para monitorar a rede em busca de possíveis eventos de segurança cibernética. Os eventos são monitorados pela captura de registros detalhados das solicitações que são feitas a um bucket do Amazon S3. Cada registro de log de acesso fornece detalhes sobre uma única solicitação de acesso. Os detalhes incluem solicitante, nome do bucket, horário da solicitação, ação da solicitação, status da resposta e um código de erro, se relevante. | |
| SI-04 (22) | (a) Detecte serviços de rede que não foram autorizados ou aprovados por [Atribuição: processos de autorização ou aprovação definidos pela organização] e (b) [Seleção (uma ou mais): Auditoria; Alerta [Atribuição: pessoal ou funções definidas pela organização]] quando detectados. | (A) O AWS Security Hub ajuda a monitorar equipes, conexões, dispositivos e software não autorizados. O AWS Security Hub agrega, organiza e prioriza os alertas de segurança ou as descobertas de vários serviços da AWS. Alguns desses serviços são o Amazon Security Hub, o Amazon Inspector, o Amazon Macie, o AWS Identity and Access Management (IAM) Access Analyzer e o AWS Firewall Manager, além de soluções de parceiros da AWS. | |
| SI-04 (22) | (a) Detecte serviços de rede que não foram autorizados ou aprovados por [Atribuição: processos de autorização ou aprovação definidos pela organização] e (b) [Seleção (uma ou mais): Auditoria; Alerta [Atribuição: pessoal ou funções definidas pela organização]] quando detectados. | Os logs de fluxo da VPC fornecem registros detalhados de informações sobre o tráfego de IP de entrada e saída das interfaces de rede no Amazon Virtual Private Cloud (Amazon VPC). Por padrão, o registro de log de fluxo inclui valores para os diferentes componentes do fluxo de IP, incluindo a origem, o destino e o protocolo. | |
| SI-04 (22) | (a) Detecte serviços de rede que não foram autorizados ou aprovados por [Atribuição: processos de autorização ou aprovação definidos pela organização] e (b) [Seleção (uma ou mais): Auditoria; Alerta [Atribuição: pessoal ou funções definidas pela organização]] quando detectados. | O Amazon GuardDuty pode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência contra ameaças. Isso inclui listas de IPs maliciosos e machine learning para identificar atividades inesperadas, não autorizadas e mal-intencionadas em seu ambiente na Nuvem AWS. | |
| SI-05 (01) | Divulgue informações de alerta e recomendações de segurança para toda a organização usando [Atribuição: mecanismos automatizados definidos pela organização]. | O AWS Security Hub ajuda a monitorar equipes, conexões, dispositivos e software não autorizados. O AWS Security Hub agrega, organiza e prioriza os alertas de segurança ou as descobertas de vários serviços da AWS. Alguns desses serviços são o Amazon Security Hub, o Amazon Inspector, o Amazon Macie, o AWS Identity and Access Management (IAM) Access Analyzer e o AWS Firewall Manager, além de soluções de parceiros da AWS. | |
| SI-05 (01) | Divulgue informações de alerta e recomendações de segurança para toda a organização usando [Atribuição: mecanismos automatizados definidos pela organização]. | O Amazon GuardDuty pode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência contra ameaças. Isso inclui listas de IPs maliciosos e machine learning para identificar atividades inesperadas, não autorizadas e mal-intencionadas em seu ambiente na Nuvem AWS. | |
| SI-07 (02) | Empregue ferramentas automatizadas que fornecem notificações para [Atribuição: pessoal ou funções definidas pela organização] ao descobrir discrepâncias durante a verificação de integridade. | Os alarmes do Amazon CloudWatch alertam quando uma métrica ultrapassa o limite de um número especificado de períodos de avaliação. O alarme executa uma ou mais ações com base no valor da métrica ou na expressão em relação a um limite em alguns períodos. Essa regra exige um valor para alarmActionRequired (padrão do Config: verdadeiro), insufficientDataActionRequired (padrão do Config: verdadeiro), okActionRequired (padrão do Config: falso). O valor real deve refletir as ações de alarme do ambiente. | |
| SI-07 (02) | Empregue ferramentas automatizadas que fornecem notificações para [Atribuição: pessoal ou funções definidas pela organização] ao descobrir discrepâncias durante a verificação de integridade. | A coleta de eventos de dados do Simple Storage Service (Amazon S3) ajuda a detectar qualquer atividade anômala. Os detalhes incluem informações da conta da AWS que acessou um bucket do Amazon S3, o endereço IP e o horário do evento. | |
| SI-07 (05) | Automaticamente [Seleção (uma ou mais): desligue o sistema; reinicie o sistema; implemente [Atribuição: controles definidos pela organização]] quando forem descobertas violações de integridade. | É possível ter um inventário das plataformas e aplicações de software na organização ao gerenciar instâncias do Amazon Elastic Compute Cloud (Amazon EC2) com o AWS Systems Manager. Use o AWS Systems Manager para fornecer configurações detalhadas do sistema, níveis de patch do sistema operacional, nome e tipo de serviços, instalações de software, nome da aplicação, publicador e versão, além de outros detalhes sobre seu ambiente. | |
| SI-07 (05) | Automaticamente [Seleção (uma ou mais): desligue o sistema; reinicie o sistema; implemente [Atribuição: controles definidos pela organização]] quando forem descobertas violações de integridade. | Habilite essa regra para ajudar na identificação e documentação das vulnerabilidades do Amazon Elastic Compute Cloud (Amazon EC2). A regra verifica se a instância do Amazon EC2 está em conformidade com os patches no AWS Systems Manager, conforme exigido pelas políticas e pelos procedimentos da organização. | |
| SI-07 (15) | Implemente mecanismos criptográficos para autenticar os seguintes componentes de software ou firmware antes da instalação: [Atribuição: componentes de software ou firmware definidos pela organização]. | Configure os estágios da API REST do Amazon API Gateway com certificados SSL para permitir que os sistemas de back-end autentiquem o API Gateway como origem das solicitações. | |
| SI-07 (15) | Implemente mecanismos criptográficos para autenticar os seguintes componentes de software ou firmware antes da instalação: [Atribuição: componentes de software ou firmware definidos pela organização]. | Para proteger a integridade da rede, garanta que os certificados X509 sejam emitidos pelo AWS ACM. Esses certificados devem ser válidos e estar dentro do prazo de validade. Essa regra exige um valor para daysToExpiration (valor do Práticas Recomendadas de Segurança Básica da AWS: 90). O valor real deve refletir as políticas da organização. |
Modelo
O modelo está disponível no GitHub: Melhores práticas operacionais para FedRAMP (Parte 2)
