Práticas recomendadas operacionais para o PCI DSS 3.2.1
Os pacotes de conformidade fornecem um framework de conformidade de uso geral desenvolvido para permitir que você crie verificações de governança operacional, de segurança ou de otimização de custos usando regras gerenciadas ou personalizadas do AWS Config e ações de correção do AWS Config. Os pacotes de conformidade, como os modelos de amostra, não foram projetados para garantir totalmente a conformidade com um padrão específico de governança ou conformidade. Você é responsável por avaliar se o seu uso dos serviços atende aos requisitos legais e regulamentares aplicáveis.
Veja a seguir um exemplo de mapeamento entre o Padrão de segurança de dados do setor de cartão de pagamento (PCI DSS – Payment Card Industry Data Security Standard) 3.2.1 e as regras gerenciadas do AWS Config. Cada regra de AWS Config se aplica a um recurso da AWS específico e está relacionada a um ou mais controles do PCI DSS. Um controle do PCI DSS pode estar relacionado a várias regras do Config. Consulte a tabela abaixo para conferir mais detalhes e orientações relacionados a esses mapeamentos.
| ID de controle | Descrição do controle | Regra do AWS Config | Orientação |
|---|---|---|---|
| 1.3 | Proíba o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão. | Para ajudar na proteção de aplicações contra vulnerabilidades de dessincronização de HTTP, habilite o modo de mitigação de dessincronização de HTTP nos Application Load Balancers. Problemas de dessincronização de HTTP podem levar ao contrabando de solicitações e tornar suas aplicações vulneráveis ao envenenamento da fila de solicitações ou do cache. Os modos de mitigação de dessincronização são: monitorado, defensivo e mais rigoroso. Ddefensivo é o modo padrão. | |
| 1.3 | Proíba o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão. | Configure seus Elastic Load Balancers (ELB) para descartar cabeçalhos http. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los. | |
| 1.3 | Proíba o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão. | Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar a gerenciar o acesso à rede fornecendo filtragem stateful do tráfego de rede de entrada e saída aos recursos da AWS. Não permitir o tráfego de entrada (ou remoto) de 0.0.0.0/0 para a porta 22 nos recursos ajuda a restringir o acesso remoto. | |
| 1.3 | Proíba o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão. | Se você configurar suas interfaces de rede com um endereço IP público, os recursos associados a elas poderão ser acessados pela internet. Os recursos do EC2 não devem permitir acesso público, pois isso permite acesso não intencional a aplicações ou servidores. | |
| 1.3 | Proíba o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão. | Para gerenciar o acesso à Nuvem AWS, garanta que as instâncias de replicação do DMS não possam ser acessadas publicamente. As instâncias de replicação do DMS podem conter informações confidenciais, e o controle de acesso é necessário para essas contas. | |
| 1.3 | Proíba o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão. | Para gerenciar o acesso à Nuvem AWS, garanta que os instantâneos do EBS não sejam restauráveis publicamente. Os snapshots de volume do EBS podem conter informações confidenciais, e o controle de acesso é necessário para essas contas. | |
| 1.3 | Proíba o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão. | Para gerenciar o acesso à Nuvem AWS, garanta que as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) não possam ser acessadas publicamente. As instâncias do Amazon EC2 podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| 1.3 | Proíba o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão. | Para gerenciar o acesso à Nuvem AWS, garanta que os domínios do Amazon OpenSearch Service (OpenSearch Service) estejam em um Amazon Virtual Private Cloud (Amazon VPC). Um domínio do Amazon OpenSearch Service em um Amazon VPC permite a comunicação segura entre o Amazon OpenSearch Service e outros serviços no Amazon VPC, sem a necessidade de usar um gateway da Internet, um dispositivo NAT ou uma conexão VPN. | |
| 1.3 | Proíba o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão. | Para gerenciar o acesso à Nuvem AWS, garanta que os nós principais do cluster do Amazon EMR não possam ser acessados publicamente. Os nós principais do cluster do Amazon EMR podem conter informações confidenciais, e o controle de acesso é necessário para essas contas. | |
| 1.3 | Proíba o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão. | Implemente instâncias do Amazon Elastic Compute Cloud (Amazon EC2) em um Amazon Virtual Private Cloud (Amazon VPC) para permitir a comunicação segura entre uma instância e outros serviços no Amazon VPC, sem exigir um gateway da Internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece com segurança na Nuvem AWS. Devido ao seu isolamento lógico, os domínios que residem no Amazon VPC contam com uma camada adicional de segurança se comparados aos domínios que utilizam endpoints públicos. Atribua instâncias do Amazon EC2 a um Amazon VPC para gerenciar adequadamente o acesso. | |
| 1.3 | Proíba o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão. | Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as funções do AWS Lambda não possam ser acessadas publicamente. O acesso público pode causar degradação da disponibilidade de recursos. | |
| 1.3 | Proíba o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão. | Implemente funções do AWS Lambda no Amazon Virtual Private Cloud (Amazon VPC) para estabelecer uma comunicação segura entre uma função e outros serviços no Amazon VPC. Com essa configuração, não há necessidade de um gateway da Internet, dispositivo NAT ou conexão VPN. Todo tráfego é mantido seguro na Nuvem AWS. Devido ao seu isolamento lógico, os domínios que residem no Amazon VPC contam com uma camada adicional de segurança se comparados aos domínios que utilizam endpoints públicos. Para gerenciar adequadamente o acesso, as funções do AWS Lambda devem ser atribuídas a uma VPC. | |
| 1.3 | Proíba o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão. | Um grupo de regras do AWS Network Firewall contém regras que definem como seu firewall processa o tráfego em sua VPC. Um grupo de regras sem estado vazio, quando presente em uma política de firewall, não processa o tráfego. | |
| 1.3 | Proíba o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão. | Garanta que as tabelas de rotas do Amazon EC2 não tenham rotas irrestritas para um gateway da Internet. Remover ou limitar o acesso à internet para workloads no Amazon VPC pode reduzir o acesso não intencional em seu ambiente. | |
| 1.3 | Proíba o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão. | Para gerenciar o acesso à Nuvem AWS, garanta que os domínios do Amazon OpenSearch Service estejam no Amazon Virtual Private Cloud (Amazon VPC). Um domínio do Amazon OpenSearch Service no Amazon VPC permite a comunicação segura entre o Amazon OpenSearch Service e outros serviços no Amazon VPC, sem que seja necessário usar um gateway da Internet, um dispositivo NAT ou uma conexão VPN. | |
| 1.3 | Proíba o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão. | Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas. | |
| 1.3 | Proíba o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão. | Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas. | |
| 1.3 | Proíba o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão. | Para gerenciar o acesso a recursos na Nuvem AWS, garanta que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas. | |
| 1.3 | Proíba o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão. | Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode permitir ataques contra a disponibilidade, a integridade e a confidencialidade dos sistemas. Essa regra permite que você defina opcionalmente os parâmetros blockedPort1-blockedPort5 (Padrões de configuração: 20.21.3389.3306.4333). Os valores reais devem refletir as políticas da organização. | |
| 1.3 | Proíba o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão. | Para gerenciar o acesso a recursos na Nuvem AWS, os buckets do Amazon Simple Storage Service (Amazon S3) não podem ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente os parâmetros ignorePublicAcls (padrão do Config: true), blockPublicPolicy (padrão do Config: true), blockPublicAcls (padrão do Config: true) e restrictPublicBuckets (padrão do Config: true). Os valores reais devem refletir as políticas da organização. | |
| 1.3 | Proíba o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão. | Para gerenciar o acesso a recursos na Nuvem AWS, os buckets do Amazon Simple Storage Service (Amazon S3) não podem ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público no nível do bucket. | |
| 1.3 | Proíba o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão. | Para gerenciar o acesso a recursos na Nuvem AWS, permita que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| 1.3 | Proíba o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão. | Para gerenciar o acesso a recursos na Nuvem AWS, permita que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| 1.3 | Proíba o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão. | Para gerenciar o acesso a recursos na AWS nuvem, garanta que os cadernos do Amazon SageMaker não permitam acesso direto à internet. Ao impedir o acesso direto à internet, você impede que dados confidenciais sejam acessados por usuários não autorizados. | |
| 1.3 | Proíba o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão. | Garanta que os documentos do AWS Systems Manager (SSM) não sejam públicos, pois isso permite acesso não intencional aos seus documentos do SSM. Um documento do SSM público pode expor informações sobre sua conta, recursos e processos internos. | |
| 1.3 | Proíba o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão. | Para gerenciar o acesso à Nuvem AWS, as sub-redes do Amazon Virtual Private Cloud (VPC) não devem receber automaticamente um endereço IP público. As instâncias do Amazon Elastic Compute Cloud (EC2) que são executadas em sub-redes com esse atributo habilitado têm um endereço IP público atribuído à sua interface de rede primária. | |
| 1.3 | Proíba o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão. | Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar no gerenciamento do acesso à rede fornecendo filtragem stateful do tráfego de rede de entrada e saída aos recursos da AWS. Restringir todo o tráfego no grupo de segurança padrão ajuda a limitar o acesso remoto aos recursos da AWS. | |
| 1.3 | Proíba o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão. | Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode permitir ataques contra a disponibilidade, a integridade e a confidencialidade dos sistemas. Ao restringir o acesso a recursos em um grupo de segurança da internet (0.0.0.0/0), o acesso remoto pode ser controlado para sistemas internos. | |
| 1.3.6 | Coloque componentes do sistema que armazenam dados do titular do cartão (como um banco de dados) em uma zona de rede interna, segregada da DMZ e de outras redes não confiáveis. | Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar a gerenciar o acesso à rede fornecendo filtragem stateful do tráfego de rede de entrada e saída aos recursos da AWS. Não permitir o tráfego de entrada (ou remoto) de 0.0.0.0/0 para a porta 22 nos recursos ajuda a restringir o acesso remoto. | |
| 1.3.6 | Coloque componentes do sistema que armazenam dados do titular do cartão (como um banco de dados) em uma zona de rede interna, segregada da DMZ e de outras redes não confiáveis. | Se você configurar suas interfaces de rede com um endereço IP público, os recursos associados a elas poderão ser acessados pela internet. Os recursos do EC2 não devem permitir acesso público, pois isso permite acesso não intencional a aplicações ou servidores. | |
| 1.3.6 | Coloque componentes do sistema que armazenam dados do titular do cartão (como um banco de dados) em uma zona de rede interna, segregada da DMZ e de outras redes não confiáveis. | Para gerenciar o acesso à Nuvem AWS, garanta que as instâncias de replicação do DMS não possam ser acessadas publicamente. As instâncias de replicação do DMS podem conter informações confidenciais, e o controle de acesso é necessário para essas contas. | |
| 1.3.6 | Coloque componentes do sistema que armazenam dados do titular do cartão (como um banco de dados) em uma zona de rede interna, segregada da DMZ e de outras redes não confiáveis. | Para gerenciar o acesso à Nuvem AWS, garanta que os instantâneos do EBS não sejam restauráveis publicamente. Os snapshots de volume do EBS podem conter informações confidenciais, e o controle de acesso é necessário para essas contas. | |
| 1.3.6 | Coloque componentes do sistema que armazenam dados do titular do cartão (como um banco de dados) em uma zona de rede interna, segregada da DMZ e de outras redes não confiáveis. | Para gerenciar o acesso à Nuvem AWS, garanta que as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) não possam ser acessadas publicamente. As instâncias do Amazon EC2 podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| 1.3.6 | Coloque componentes do sistema que armazenam dados do titular do cartão (como um banco de dados) em uma zona de rede interna, segregada da DMZ e de outras redes não confiáveis. | Para gerenciar o acesso à Nuvem AWS, garanta que os domínios do Amazon OpenSearch Service (OpenSearch Service) estejam em um Amazon Virtual Private Cloud (Amazon VPC). Um domínio do Amazon OpenSearch Service em um Amazon VPC permite a comunicação segura entre o Amazon OpenSearch Service e outros serviços no Amazon VPC, sem a necessidade de usar um gateway da Internet, um dispositivo NAT ou uma conexão VPN. | |
| 1.3.6 | Coloque componentes do sistema que armazenam dados do titular do cartão (como um banco de dados) em uma zona de rede interna, segregada da DMZ e de outras redes não confiáveis. | Implemente instâncias do Amazon Elastic Compute Cloud (Amazon EC2) em um Amazon Virtual Private Cloud (Amazon VPC) para permitir a comunicação segura entre uma instância e outros serviços no Amazon VPC, sem exigir um gateway da Internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece com segurança na Nuvem AWS. Devido ao seu isolamento lógico, os domínios que residem no Amazon VPC contam com uma camada adicional de segurança se comparados aos domínios que utilizam endpoints públicos. Atribua instâncias do Amazon EC2 a um Amazon VPC para gerenciar adequadamente o acesso. | |
| 1.3.6 | Coloque componentes do sistema que armazenam dados do titular do cartão (como um banco de dados) em uma zona de rede interna, segregada da DMZ e de outras redes não confiáveis. | Uma política do AWS Network Firewall define como seu firewall monitora e gerencia o tráfego em uma Amazon VPC. Você configura grupos de regras stateless e stateful para filtrar pacotes e fluxos de tráfego e define o tratamento padrão do tráfego. | |
| 1.3.6 | Coloque componentes do sistema que armazenam dados do titular do cartão (como um banco de dados) em uma zona de rede interna, segregada da DMZ e de outras redes não confiáveis. | Um grupo de regras do AWS Network Firewall contém regras que definem como seu firewall processa o tráfego em sua VPC. Um grupo de regras sem estado vazio, quando presente em uma política de firewall, não processa o tráfego. | |
| 1.3.6 | Coloque componentes do sistema que armazenam dados do titular do cartão (como um banco de dados) em uma zona de rede interna, segregada da DMZ e de outras redes não confiáveis. | Para gerenciar o acesso à Nuvem AWS, garanta que os domínios do Amazon OpenSearch Service estejam no Amazon Virtual Private Cloud (Amazon VPC). Um domínio do Amazon OpenSearch Service no Amazon VPC permite a comunicação segura entre o Amazon OpenSearch Service e outros serviços no Amazon VPC, sem que seja necessário usar um gateway da Internet, um dispositivo NAT ou uma conexão VPN. | |
| 1.3.6 | Coloque componentes do sistema que armazenam dados do titular do cartão (como um banco de dados) em uma zona de rede interna, segregada da DMZ e de outras redes não confiáveis. | Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas. | |
| 1.3.6 | Coloque componentes do sistema que armazenam dados do titular do cartão (como um banco de dados) em uma zona de rede interna, segregada da DMZ e de outras redes não confiáveis. | Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas. | |
| 1.3.6 | Coloque componentes do sistema que armazenam dados do titular do cartão (como um banco de dados) em uma zona de rede interna, segregada da DMZ e de outras redes não confiáveis. | Para gerenciar o acesso a recursos na Nuvem AWS, garanta que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas. | |
| 1.3.6 | Coloque componentes do sistema que armazenam dados do titular do cartão (como um banco de dados) em uma zona de rede interna, segregada da DMZ e de outras redes não confiáveis. | Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode permitir ataques contra a disponibilidade, a integridade e a confidencialidade dos sistemas. Essa regra permite que você defina opcionalmente os parâmetros blockedPort1-blockedPort5 (Padrões de configuração: 20.21.3389.3306.4333). Os valores reais devem refletir as políticas da organização. | |
| 1.3.6 | Coloque componentes do sistema que armazenam dados do titular do cartão (como um banco de dados) em uma zona de rede interna, segregada da DMZ e de outras redes não confiáveis. | Para gerenciar o acesso a recursos na Nuvem AWS, os buckets do Amazon Simple Storage Service (Amazon S3) não podem ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente os parâmetros ignorePublicAcls (padrão do Config: true), blockPublicPolicy (padrão do Config: true), blockPublicAcls (padrão do Config: true) e restrictPublicBuckets (padrão do Config: true). Os valores reais devem refletir as políticas da organização. | |
| 1.3.6 | Coloque componentes do sistema que armazenam dados do titular do cartão (como um banco de dados) em uma zona de rede interna, segregada da DMZ e de outras redes não confiáveis. | Para gerenciar o acesso a recursos na Nuvem AWS, os buckets do Amazon Simple Storage Service (Amazon S3) não podem ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público no nível do bucket. | |
| 1.3.6 | Coloque componentes do sistema que armazenam dados do titular do cartão (como um banco de dados) em uma zona de rede interna, segregada da DMZ e de outras redes não confiáveis. | Para gerenciar o acesso a recursos na Nuvem AWS, permita que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| 1.3.6 | Coloque componentes do sistema que armazenam dados do titular do cartão (como um banco de dados) em uma zona de rede interna, segregada da DMZ e de outras redes não confiáveis. | Para gerenciar o acesso a recursos na Nuvem AWS, permita que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| 1.3.6 | Coloque componentes do sistema que armazenam dados do titular do cartão (como um banco de dados) em uma zona de rede interna, segregada da DMZ e de outras redes não confiáveis. | Para gerenciar o acesso a recursos na AWS nuvem, garanta que os cadernos do Amazon SageMaker não permitam acesso direto à internet. Ao impedir o acesso direto à internet, você impede que dados confidenciais sejam acessados por usuários não autorizados. | |
| 1.3.6 | Coloque componentes do sistema que armazenam dados do titular do cartão (como um banco de dados) em uma zona de rede interna, segregada da DMZ e de outras redes não confiáveis. | Para gerenciar o acesso à Nuvem AWS, as sub-redes do Amazon Virtual Private Cloud (VPC) não devem receber automaticamente um endereço IP público. As instâncias do Amazon Elastic Compute Cloud (EC2) que são executadas em sub-redes com esse atributo habilitado têm um endereço IP público atribuído à sua interface de rede primária. | |
| 1.3.6 | Coloque componentes do sistema que armazenam dados do titular do cartão (como um banco de dados) em uma zona de rede interna, segregada da DMZ e de outras redes não confiáveis. | Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar no gerenciamento do acesso à rede fornecendo filtragem stateful do tráfego de rede de entrada e saída aos recursos da AWS. Restringir todo o tráfego no grupo de segurança padrão ajuda a limitar o acesso remoto aos recursos da AWS. | |
| 1.3.6 | Coloque componentes do sistema que armazenam dados do titular do cartão (como um banco de dados) em uma zona de rede interna, segregada da DMZ e de outras redes não confiáveis. | Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode permitir ataques contra a disponibilidade, a integridade e a confidencialidade dos sistemas. Ao restringir o acesso a recursos em um grupo de segurança da internet (0.0.0.0/0), o acesso remoto pode ser controlado para sistemas internos. | |
| 2.1 | Sempre altere os padrões concedidos pelo fornecedor e remova ou desative contas padrão desnecessárias antes de instalar um sistema na rede. Isso se aplica a TODAS as senhas padrão, incluindo, entre outras, aquelas usadas por sistemas operacionais, software que fornece serviços de segurança, aplicações e contas de sistema, terminais de ponto de venda, aplicações de pagamento, strings de comunidade do Simple Network Management Protocol (SNMP) etc. | Como os nomes de usuário padrão são de conhecimento público, a alteração dos nomes de usuário padrão pode ajudar a reduzir a superfície de ataque de seu(s) cluster(s) de banco de dados do Amazon Relational Database Service (Amazon RDS). | |
| 2.1 | Sempre altere os padrões concedidos pelo fornecedor e remova ou desative contas padrão desnecessárias antes de instalar um sistema na rede. Isso se aplica a TODAS as senhas padrão, incluindo, entre outras, aquelas usadas por sistemas operacionais, software que fornece serviços de segurança, aplicações e contas de sistema, terminais de ponto de venda, aplicações de pagamento, strings de comunidade do Simple Network Management Protocol (SNMP) etc. | Como os nomes de usuário padrão são de conhecimento público, a alteração dos nomes de usuário padrão pode ajudar a reduzir a superfície de ataque de sua(s) instância(s) de banco de dados do Amazon Relational Database Service (Amazon RDS). | |
| 2.1 | Sempre altere os padrões concedidos pelo fornecedor e remova ou desative contas padrão desnecessárias antes de instalar um sistema na rede. Isso se aplica a TODAS as senhas padrão, incluindo, entre outras, aquelas usadas por sistemas operacionais, software que fornece serviços de segurança, aplicações e contas de sistema, terminais de ponto de venda, aplicações de pagamento, strings de comunidade do Simple Network Management Protocol (SNMP) etc. | Como os nomes de usuário padrão são de conhecimento público, a alteração dos nomes de usuário padrão pode ajudar a reduzir a superfície de ataque de seu(s) cluster(s) do Amazon Redshift. | |
| 2.1 | Sempre altere os padrões concedidos pelo fornecedor e remova ou desative contas padrão desnecessárias antes de instalar um sistema na rede. Isso se aplica a TODAS as senhas padrão, incluindo, entre outras, aquelas usadas por sistemas operacionais, software que fornece serviços de segurança, aplicações e contas de sistema, terminais de ponto de venda, aplicações de pagamento, strings de comunidade do Simple Network Management Protocol (SNMP) etc. | Os nomes padrão são de conhecimento público e devem ser alterados durante a configuração. Alterar o nome do banco de dados padrão do cluster do Amazon Redshift pode ajudar a reduzir a superfície de ataque do cluster do Redshift. | |
| 2.1 | Sempre altere os padrões concedidos pelo fornecedor e remova ou desative contas padrão desnecessárias antes de instalar um sistema na rede. Isso se aplica a TODAS as senhas padrão, incluindo, entre outras, aquelas usadas por sistemas operacionais, software que fornece serviços de segurança, aplicações e contas de sistema, terminais de ponto de venda, aplicações de pagamento, strings de comunidade do Simple Network Management Protocol (SNMP) etc. | Para gerenciar o acesso a recursos na Nuvem AWS, habilite a MFA para o usuário raiz. O usuário raiz é o mais privilegiado em uma Conta da AWS. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Ao exigir MFA para o usuário raiz, é possível reduzir os incidentes de Contas da AWS comprometidas. | |
| 2.1 | Sempre altere os padrões concedidos pelo fornecedor e remova ou desative contas padrão desnecessárias antes de instalar um sistema na rede. Isso se aplica a TODAS as senhas padrão, incluindo, entre outras, aquelas usadas por sistemas operacionais, software que fornece serviços de segurança, aplicações e contas de sistema, terminais de ponto de venda, aplicações de pagamento, strings de comunidade do Simple Network Management Protocol (SNMP) etc. | Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar no gerenciamento do acesso à rede fornecendo filtragem stateful do tráfego de rede de entrada e saída aos recursos da AWS. Restringir todo o tráfego no grupo de segurança padrão ajuda a limitar o acesso remoto aos recursos da AWS. | |
| 2.2 | Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. Fontes de padrões de proteção de sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology (NIST). | Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar a gerenciar o acesso à rede fornecendo filtragem stateful do tráfego de rede de entrada e saída aos recursos da AWS. Não permitir o tráfego de entrada (ou remoto) de 0.0.0.0/0 para a porta 22 nos recursos ajuda a restringir o acesso remoto. | |
| 2.2 | Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. Fontes de padrões de proteção de sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology (NIST). | O AWS CloudTrail registra as ações e as chamadas de API do Console de Gerenciamento da AWS. Você pode identificar quais usuários e contas chamaram a AWS, o endereço IP de origem do qual as chamadas foram feitas e quando elas ocorreram. O CloudTrail fornecerá os arquivos de log de todas as regiões da AWS para o bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, quando a AWS atender a uma nova região, o CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação. | |
| 2.2 | Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. Fontes de padrões de proteção de sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology (NIST). | As credenciais são auditadas para dispositivos, usuários e processos autorizados garantindo que as chaves de acesso do IAM sejam alternadas como especificado pela política organizacional. Alterar as chaves de acesso regularmente é uma prática recomendada de segurança. Isso reduz o período em que uma chave de acesso permanece ativa e diminui o impacto nos negócios se as chaves forem comprometidas. Essa regra requer um valor de alternância da chave de acesso (padrão do Config: 90). O valor real deve refletir as políticas da organização. | |
| 2.2 | Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. Fontes de padrões de proteção de sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology (NIST). | O gerenciamento centralizado de Contas da AWS no AWS Organizations ajuda a garantir que as contas estejam em conformidade. Usar uma governança não centralizada na conta pode gerar inconsistências nas configurações da conta, o que pode expor recursos e dados confidenciais. | |
| 2.2 | Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. Fontes de padrões de proteção de sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology (NIST). | Se você configurar suas interfaces de rede com um endereço IP público, os recursos associados a elas poderão ser acessados pela internet. Os recursos do EC2 não devem permitir acesso público, pois isso permite acesso não intencional a aplicações ou servidores. | |
| 2.2 | Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. Fontes de padrões de proteção de sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology (NIST). | Use o Amazon CloudWatch para coletar e gerenciar centralmente a atividade de eventos de logs. A inclusão dos dados do AWS CloudTrail fornece detalhes da atividade de chamadas da API em sua Conta da AWS. | |
| 2.2 | Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. Fontes de padrões de proteção de sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology (NIST). | Como pode haver dados confidenciais, e para ajudar a proteger os dados em repouso, habilite a criptografia para as trilhas do AWS CloudTrail. | |
| 2.2 | Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. Fontes de padrões de proteção de sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology (NIST). | Utilize a validação de arquivo de log do AWS CloudTrail para verificar a integridade dos logs do CloudTrail. Essa validação ajuda a determinar se um arquivo de log foi modificado, excluído ou permaneceu inalterado depois de ser fornecido pelo CloudTrail. Esse recurso é criado usando algoritmos padrão do setor: SHA-256 para hashing e SHA-256 com RSA para assinaturas digitais. Desse modo, é computacionalmente impraticável modificar, excluir ou forjar arquivos de log do CloudTrail sem detectar tais ações. | |
| 2.2 | Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. Fontes de padrões de proteção de sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology (NIST). | A coleta de eventos de dados do Simple Storage Service (Amazon S3) ajuda a detectar qualquer atividade anômala. Os detalhes incluem informações da Conta da AWS que acessou um bucket, endereço IP e horário do evento do Amazon S3. | |
| 2.2 | Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. Fontes de padrões de proteção de sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology (NIST). | Habilite a alternância de chaves para que sejam usadas alternadamente depois de atingirem o final do período criptográfico. | |
| 2.2 | Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. Fontes de padrões de proteção de sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology (NIST). | Para ajudar a proteger os dados em repouso, habilite a criptografia para os volumes do Amazon Elastic Block Store (Amazon EBS). Como pode haver dados confidenciais em repouso nesses volumes, habilite a criptografia em repouso para ajudar a protegê-los. | |
| 2.2 | Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. Fontes de padrões de proteção de sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology (NIST). | Essa regra verifica se suas instâncias do Amazon Elastic Compute Cloud (Amazon EC2) têm vários ENIs. Ter vários ENIs pode causar instâncias com hospedagem dupla, ou seja, instâncias com várias sub-redes. Isso pode aumentar a complexidade da segurança da rede e introduzir caminhos e acessos de rede não intencionais. | |
| 2.2 | Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. Fontes de padrões de proteção de sistema aceitos pelo setor podem incluir, mas não estão limitadas a: ‚Ä¢ Center for Internet Security (CIS) ‚Ä¢ International Organization for Standardization (ISO) ‚Ä¢ SysAdmin Audit Network Security (SANS) Institute ‚Ä¢ National Institute of Standards Technology (NIST). | Use as associações do AWS Systems Manager para ajudar no inventário de plataformas e aplicações de software em uma organização. O AWS Systems Manager atribui um estado de configuração às instâncias gerenciadas e permite que você defina linhas de base de níveis de patch do sistema operacional, instalações de software, configurações de aplicações e outros detalhes sobre o ambiente. | |
| 2.2 | Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. Fontes de padrões de proteção de sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology (NIST). | Habilite essa regra para ajudar na identificação e documentação das vulnerabilidades do Amazon Elastic Compute Cloud (Amazon EC2). A regra verifica se a instância do Amazon EC2 está em conformidade com os patches no AWS Systems Manager, conforme exigido pelas políticas e pelos procedimentos da organização. | |
| 2.2 | Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. Fontes de padrões de proteção de sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology (NIST). | Essa regra garante que os grupos de segurança sejam anexados a uma instância do Amazon Elastic Compute Cloud (Amazon EC2) ou a uma ENI. Essa regra ajuda a monitorar grupos de segurança não utilizados no inventário e no gerenciamento do seu ambiente. | |
| 2.2 | Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. Fontes de padrões de proteção de sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology (NIST). | Como pode haver dados confidenciais, e para ajudar a proteger os dados em repouso, habilite a criptografia para os volumes do Amazon Elastic Block Store (Amazon EBS). | |
| 2.2 | Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. Fontes de padrões de proteção de sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology (NIST). | Assegure que um usuário, um perfil ou um grupo do AWS Identity and Access Management (IAM) não tenha uma política em linha para controlar o acesso a sistemas e ativos. A AWS recomenda usar políticas gerenciadas, em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o versionamento, a reversão e a delegação do gerenciamento de permissões. | |
| 2.2 | Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. Fontes de padrões de proteção de sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology (NIST). | O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham "Effect": "Allow" com "Action": "*" por "Resource": "*". Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres. | |
| 2.2 | Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. Fontes de padrões de proteção de sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology (NIST). | O acesso a sistemas e ativos pode ser controlado verificando se o usuário raiz não tem chaves de acesso anexadas ao seu perfil do AWS Identity and Access Management (IAM). Exclua as chaves de acesso raiz. Em vez disso, crie e use Contas da AWS baseadas em perfis para ajudar a incorporar o princípio da funcionalidade mínima. | |
| 2.2 | Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. Fontes de padrões de proteção de sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology (NIST). | O AWS Identity and Access Management (IAM) pode ajudar a restringir permissões e autorizações de acesso garantindo que os usuários sejam membros de pelo menos um grupo. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres. | |
| 2.2 | Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. Fontes de padrões de proteção de sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology (NIST). | Essa regra garante que as políticas do AWS Identity and Access Management (IAM) sejam anexadas apenas a grupos ou perfis para controlar o acesso a sistemas e ativos. A atribuição de privilégios por grupo ou perfil ajuda a reduzir a oportunidade de uma identidade receber ou reter privilégios excessivos. | |
| 2.2 | Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. Fontes de padrões de proteção de sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology (NIST). | O AWS Identity and Access Management (IAM) pode ajudar com permissões e autorizações de acesso verificando as senhas e chaves de acesso do IAM que não são usadas por um período especificado. Se essas credenciais não utilizadas forem identificadas, você deverá desabilitar e/ou removê-las, pois isso pode violar o princípio de privilégio mínimo. Essa regra exige que você defina um valor para maxCredentialUsageAge (padrão do Config: 90). O valor real deve refletir as políticas da organização. | |
| 2.2 | Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. Fontes de padrões de proteção de sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology (NIST). | Para gerenciar o acesso Access a recursos na Nuvem AWS, habilite a MFA para todos os usuários do AWS Identity and Access Management (IAM) que têm uma senha de console. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Ao exigir que os usuários utilizem a MFA, você reduz os incidentes de contas comprometidas e impede que dados confidenciais sejam acessados por usuários não autorizados. | |
| 2.2 | Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. Fontes de padrões de proteção de sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology (NIST). | Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode permitir ataques contra a disponibilidade, a integridade e a confidencialidade dos sistemas. Essa regra permite que você defina opcionalmente os parâmetros blockedPort1-blockedPort5 (Padrões de configuração: 20.21.3389.3306.4333). Os valores reais devem refletir as políticas da organização. | |
| 2.2 | Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. Fontes de padrões de proteção de sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology (NIST). | Para gerenciar o acesso a recursos na Nuvem AWS, garanta que a MFA de hardware esteja habilitada para o usuário raiz. O usuário raiz é o mais privilegiado em uma Conta da AWS. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Ao exigir MFA para o usuário raiz, é possível reduzir os incidentes de Contas da AWS comprometidas. | |
| 2.2 | Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. Fontes de padrões de proteção de sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology (NIST). | Para gerenciar o acesso a recursos na Nuvem AWS, habilite a MFA para o usuário raiz. O usuário raiz é o mais privilegiado em uma Conta da AWS. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Ao exigir MFA para o usuário raiz, é possível reduzir os incidentes de Contas da AWS comprometidas. | |
| 2.2 | Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. Fontes de padrões de proteção de sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology (NIST). | Para gerenciar o acesso a recursos na Nuvem AWS, os buckets do Amazon Simple Storage Service (Amazon S3) não podem ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente os parâmetros ignorePublicAcls (padrão do Config: true), blockPublicPolicy (padrão do Config: true), blockPublicAcls (padrão do Config: true) e restrictPublicBuckets (padrão do Config: true). Os valores reais devem refletir as políticas da organização. | |
| 2.2 | Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. Fontes de padrões de proteção de sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology (NIST). | O registro em log de acesso ao servidor do Amazon Simple Storage Service (Amazon S3) fornece um método para monitorar a rede em busca de possíveis eventos de segurança cibernética. Os eventos são monitorados pela captura de registros detalhados das solicitações que são feitas a um bucket do Amazon S3. Cada registro de log de acesso fornece detalhes sobre uma única solicitação de acesso. Os detalhes incluem solicitante, nome do bucket, horário da solicitação, ação da solicitação, status da resposta e um código de erro, se relevante. | |
| 2.2 | Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. Fontes de padrões de proteção de sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology (NIST). | Para gerenciar o acesso a recursos na Nuvem AWS, permita que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| 2.2 | Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. Fontes de padrões de proteção de sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology (NIST). | Para gerenciar o acesso a recursos na Nuvem AWS, permita que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| 2.2 | Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. Fontes de padrões de proteção de sistema aceitos pelo setor podem incluir, mas não estão limitadas a: ‚Ä¢ Center for Internet Security (CIS) ‚Ä¢ International Organization for Standardization (ISO) ‚Ä¢ SysAdmin Audit Network Security (SANS) Institute ‚Ä¢ National Institute of Standards Technology (NIST). | A Replicação entre regiões (CRR) do Amazon Simple Storage Service (Amazon S3) é compatível com a manutenção de capacidade e disponibilidade adequadas. A CRR permite a cópia automática e assíncrona de objetos nos buckets do Amazon S3 para ajudar a garantir a manutenção da disponibilidade de dados. | |
| 2.2 | Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. Fontes de padrões de proteção de sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology (NIST). | Para ajudar a proteger os dados em repouso, habilite a criptografia para os buckets do Amazon Simple Storage Service (Amazon S3). Como pode haver dados confidenciais em repouso nos buckets do Amazon S3, habilite a criptografia para ajudar a protegê-los. | |
| 2.2 | Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. Fontes de padrões de proteção de sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology (NIST). | Para ajudar a proteger dados em trânsito, os buckets do Amazon Simple Storage Service (Amazon S3) devem exigir solicitações de uso do Secure Socket Layer (SSL). Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los. | |
| 2.2 | Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. Fontes de padrões de proteção de sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology (NIST). | Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar no gerenciamento do acesso à rede fornecendo filtragem stateful do tráfego de rede de entrada e saída aos recursos da AWS. Restringir todo o tráfego no grupo de segurança padrão ajuda a limitar o acesso remoto aos recursos da AWS. | |
| 2.2 | Desenvolva padrões de configuração para todos os componentes do sistema. Verifique se esses padrões abordam todas as vulnerabilidades de segurança conhecidas e estão de acordo com padrões de proteção do sistema aceitos pelo setor. Fontes de padrões de proteção de sistema aceitos pelo setor podem incluir, mas não estão limitadas a: • Center for Internet Security (CIS) • International Organization for Standardization (ISO) • SysAdmin Audit Network Security (SANS) Institute • National Institute of Standards Technology (NIST). | Os logs de fluxo da VPC fornecem registros detalhados de informações sobre o tráfego de IP de entrada e saída das interfaces de rede no Amazon Virtual Private Cloud (Amazon VPC). Por padrão, o registro de log de fluxo inclui valores para os diferentes componentes do fluxo de IP, incluindo a origem, o destino e o protocolo. | |
| 2.2.2 | Habilite apenas serviços, protocolos, daemons etc. necessários para o funcionamento do sistema. | Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar a gerenciar o acesso à rede fornecendo filtragem stateful do tráfego de rede de entrada e saída aos recursos da AWS. Não permitir o tráfego de entrada (ou remoto) de 0.0.0.0/0 para a porta 22 nos recursos ajuda a restringir o acesso remoto. | |
| 2.2.2 | Habilite apenas serviços, protocolos, daemons etc. necessários para o funcionamento do sistema. | Se você configurar suas interfaces de rede com um endereço IP público, os recursos associados a elas poderão ser acessados pela internet. Os recursos do EC2 não devem permitir acesso público, pois isso permite acesso não intencional a aplicações ou servidores. | |
| 2.2.2 | Habilite apenas serviços, protocolos, daemons etc. necessários para o funcionamento do sistema. | Para gerenciar o acesso à Nuvem AWS, garanta que as instâncias de replicação do DMS não possam ser acessadas publicamente. As instâncias de replicação do DMS podem conter informações confidenciais, e o controle de acesso é necessário para essas contas. | |
| 2.2.2 | Habilite apenas serviços, protocolos, daemons etc. necessários para o funcionamento do sistema. | Para gerenciar o acesso à Nuvem AWS, garanta que os instantâneos do EBS não sejam restauráveis publicamente. Os snapshots de volume do EBS podem conter informações confidenciais, e o controle de acesso é necessário para essas contas. | |
| 2.2.2 | Habilite apenas serviços, protocolos, daemons etc. necessários para o funcionamento do sistema. | Para gerenciar o acesso à Nuvem AWS, garanta que as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) não possam ser acessadas publicamente. As instâncias do Amazon EC2 podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| 2.2.2 | Habilite apenas serviços, protocolos, daemons etc. necessários para o funcionamento do sistema. | Para gerenciar o acesso à Nuvem AWS, garanta que os nós principais do cluster do Amazon EMR não possam ser acessados publicamente. Os nós principais do cluster do Amazon EMR podem conter informações confidenciais, e o controle de acesso é necessário para essas contas. | |
| 2.2.2 | Habilite apenas serviços, protocolos, daemons etc. necessários para o funcionamento do sistema. | Implemente instâncias do Amazon Elastic Compute Cloud (Amazon EC2) em um Amazon Virtual Private Cloud (Amazon VPC) para permitir a comunicação segura entre uma instância e outros serviços no Amazon VPC, sem exigir um gateway da Internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece com segurança na Nuvem AWS. Devido ao seu isolamento lógico, os domínios que residem no Amazon VPC contam com uma camada adicional de segurança se comparados aos domínios que utilizam endpoints públicos. Atribua instâncias do Amazon EC2 a um Amazon VPC para gerenciar adequadamente o acesso. | |
| 2.2.2 | Habilite apenas serviços, protocolos, daemons etc. necessários para o funcionamento do sistema. | Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as funções do AWS Lambda não possam ser acessadas publicamente. O acesso público pode causar degradação da disponibilidade de recursos. | |
| 2.2.2 | Habilite apenas serviços, protocolos, daemons etc. necessários para o funcionamento do sistema. | Implemente funções do AWS Lambda no Amazon Virtual Private Cloud (Amazon VPC) para estabelecer uma comunicação segura entre uma função e outros serviços no Amazon VPC. Com essa configuração, não há necessidade de um gateway da Internet, dispositivo NAT ou conexão VPN. Todo tráfego é mantido seguro na Nuvem AWS. Devido ao seu isolamento lógico, os domínios que residem no Amazon VPC contam com uma camada adicional de segurança se comparados aos domínios que utilizam endpoints públicos. Para gerenciar adequadamente o acesso, as funções do AWS Lambda devem ser atribuídas a uma VPC. | |
| 2.2.2 | Habilite apenas serviços, protocolos, daemons etc. necessários para o funcionamento do sistema. | Garanta que as tabelas de rotas do Amazon EC2 não tenham rotas irrestritas para um gateway da Internet. Remover ou limitar o acesso à internet para workloads no Amazon VPC pode reduzir o acesso não intencional em seu ambiente. | |
| 2.2.2 | Habilite apenas serviços, protocolos, daemons etc. necessários para o funcionamento do sistema. | Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas. | |
| 2.2.2 | Habilite apenas serviços, protocolos, daemons etc. necessários para o funcionamento do sistema. | Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas. | |
| 2.2.2 | Habilite apenas serviços, protocolos, daemons etc. necessários para o funcionamento do sistema. | Para gerenciar o acesso a recursos na Nuvem AWS, garanta que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas. | |
| 2.2.2 | Habilite apenas serviços, protocolos, daemons etc. necessários para o funcionamento do sistema. | Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode permitir ataques contra a disponibilidade, a integridade e a confidencialidade dos sistemas. Essa regra permite que você defina opcionalmente os parâmetros blockedPort1-blockedPort5 (Padrões de configuração: 20.21.3389.3306.4333). Os valores reais devem refletir as políticas da organização. | |
| 2.2.2 | Habilite apenas serviços, protocolos, daemons etc. necessários para o funcionamento do sistema. | Para gerenciar o acesso a recursos na Nuvem AWS, os buckets do Amazon Simple Storage Service (Amazon S3) não podem ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente os parâmetros ignorePublicAcls (padrão do Config: true), blockPublicPolicy (padrão do Config: true), blockPublicAcls (padrão do Config: true) e restrictPublicBuckets (padrão do Config: true). Os valores reais devem refletir as políticas da organização. | |
| 2.2.2 | Habilite apenas serviços, protocolos, daemons etc. necessários para o funcionamento do sistema. | Para gerenciar o acesso a recursos na Nuvem AWS, os buckets do Amazon Simple Storage Service (Amazon S3) não podem ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público no nível do bucket. | |
| 2.2.2 | Habilite apenas serviços, protocolos, daemons etc. necessários para o funcionamento do sistema. | Para gerenciar o acesso a recursos na Nuvem AWS, permita que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| 2.2.2 | Habilite apenas serviços, protocolos, daemons etc. necessários para o funcionamento do sistema. | Para gerenciar o acesso a recursos na Nuvem AWS, permita que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| 2.2.2 | Habilite apenas serviços, protocolos, daemons etc. necessários para o funcionamento do sistema. | Para gerenciar o acesso a recursos na AWS nuvem, garanta que os cadernos do Amazon SageMaker não permitam acesso direto à internet. Ao impedir o acesso direto à internet, você impede que dados confidenciais sejam acessados por usuários não autorizados. | |
| 2.2.2 | Habilite apenas serviços, protocolos, daemons etc. necessários para o funcionamento do sistema. | Garanta que os documentos do AWS Systems Manager (SSM) não sejam públicos, pois isso permite acesso não intencional aos seus documentos do SSM. Um documento do SSM público pode expor informações sobre sua conta, recursos e processos internos. | |
| 2.2.2 | Habilite apenas serviços, protocolos, daemons etc. necessários para o funcionamento do sistema. | Para gerenciar o acesso à Nuvem AWS, as sub-redes do Amazon Virtual Private Cloud (VPC) não devem receber automaticamente um endereço IP público. As instâncias do Amazon Elastic Compute Cloud (EC2) que são executadas em sub-redes com esse atributo habilitado têm um endereço IP público atribuído à sua interface de rede primária. | |
| 2.2.2 | Habilite apenas serviços, protocolos, daemons etc. necessários para o funcionamento do sistema. | Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar no gerenciamento do acesso à rede fornecendo filtragem stateful do tráfego de rede de entrada e saída aos recursos da AWS. Restringir todo o tráfego no grupo de segurança padrão ajuda a limitar o acesso remoto aos recursos da AWS. | |
| 2.2.2 | Habilite apenas serviços, protocolos, daemons etc. necessários para o funcionamento do sistema. | Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode permitir ataques contra a disponibilidade, a integridade e a confidencialidade dos sistemas. Ao restringir o acesso a recursos em um grupo de segurança da internet (0.0.0.0/0), o acesso remoto pode ser controlado para sistemas internos. | |
| 2.2.3 | Implemente recursos de segurança adicionais para quaisquer serviços, protocolos ou daemons necessários que sejam considerados inseguros. | Para ajudar na proteção de aplicações contra vulnerabilidades de dessincronização de HTTP, habilite o modo de mitigação de dessincronização de HTTP nos Application Load Balancers. Problemas de dessincronização de HTTP podem levar ao contrabando de solicitações e tornar suas aplicações vulneráveis ao envenenamento da fila de solicitações ou do cache. Os modos de mitigação de dessincronização são: monitorado, defensivo e mais rigoroso. Ddefensivo é o modo padrão. | |
| 2.3 | Criptografe todo o acesso administrativo que não seja do console usando criptografia forte. | Para ajudar a proteger os dados em trânsito, garanta que o Application Load Balancer redirecione automaticamente as solicitações HTTP não criptografadas para HTTPS. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los. | |
| 2.3 | Criptografe todo o acesso administrativo que não seja do console usando criptografia forte. | Configure os estágios da API REST do Amazon API Gateway com certificados SSL para permitir que os sistemas de back-end autentiquem o API Gateway como origem das solicitações. | |
| 2.3 | Criptografe todo o acesso administrativo que não seja do console usando criptografia forte. | Configure os Elastic Load Balancers (ELBs) com receptores SSL ou HTTPS. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los. | |
| 2.3 | Criptografe todo o acesso administrativo que não seja do console usando criptografia forte. | Como pode haver dados confidenciais, e para ajudar a proteger os dados em trânsito, habilite o HTTPS para as conexões com os domínios do Amazon OpenSearch Service. | |
| 2.3 | Criptografe todo o acesso administrativo que não seja do console usando criptografia forte. | Os clusters do Amazon Redshift devem exigir criptografia TLS/SSL para se conectar aos clientes SQL. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los. | |
| 2.4 | Mantenha um inventário dos componentes do sistema que estão no escopo do PCI DSS. | Essa regra garante que os grupos de segurança sejam anexados a uma instância do Amazon Elastic Compute Cloud (Amazon EC2) ou a uma ENI. Essa regra ajuda a monitorar grupos de segurança não utilizados no inventário e no gerenciamento do seu ambiente. | |
| 2.4 | Mantenha um inventário dos componentes do sistema que estão no escopo do PCI DSS. | Essa regra garante que os IPs elásticos alocados ao Amazon Virtual Private Cloud (Amazon VPC) sejam anexados às instâncias do Amazon Elastic Compute Cloud (Amazon EC2) ou às interfaces de rede elástica em uso. Essa regra ajuda a monitorar EIPs não utilizados em seu ambiente. | |
| 2.4 | Mantenha um inventário dos componentes do sistema que estão no escopo do PCI DSS. | É possível ter um inventário das plataformas e aplicações de software na organização ao gerenciar instâncias do Amazon Elastic Compute Cloud (Amazon EC2) com o AWS Systems Manager. Use o AWS Systems Manager para fornecer configurações detalhadas do sistema, níveis de patch do sistema operacional, nome e tipo de serviços, instalações de software, nome da aplicação, publicador e versão, além de outros detalhes sobre seu ambiente. | |
| 2.4 | Mantenha um inventário dos componentes do sistema que estão no escopo do PCI DSS. | Essa regra garante que as listas de controle de acesso à rede do Amazon Virtual Private Cloud (VPC) estejam em uso. O monitoramento de listas de controle de acesso à rede não utilizadas pode ajudar a manter a precisão do inventário e do gerenciamento em seu ambiente. | |
| 3.1 | Reduza ao mínimo o armazenamento de dados do titular do cartão, implementando políticas, procedimentos e processos de retenção e descarte de dados que incluam pelo menos o seguinte para todo o armazenamento de dados do titular do cartão (cardholder data, CHD): • Limite a quantidade de armazenamento de dados e o tempo de retenção ao necessário para fins legais e regulatórios e/ou requisitos comerciais • Requisitos específicos de retenção para dados do titular do cartão • Processos para exclusão segura de dados quando não forem mais necessários • Um processo trimestral para identificar e excluir com segurança dados armazenados do titular do cartão que excedam a retenção definida. | Configure as políticas de ciclo de vida do Amazon S3 para definir ações que você deseja que o Amazon S3 realize durante o ciclo de vida de um objeto (por exemplo, fazer a transição de objetos para outra classe de armazenamento, arquivá-los ou excluí-los após um período especificado). | |
| 3.1 | Reduza ao mínimo o armazenamento de dados do titular do cartão, implementando políticas, procedimentos e processos de retenção e descarte de dados que incluam pelo menos o seguinte para todo o armazenamento de dados do titular do cartão (cardholder data, CHD): • Limite a quantidade de armazenamento de dados e o tempo de retenção ao necessário para fins legais e regulatórios e/ou requisitos comerciais • Requisitos específicos de retenção para dados do titular do cartão • Processos para exclusão segura de dados quando não forem mais necessários • Um processo trimestral para identificar e excluir com segurança dados armazenados do titular do cartão que excedam a retenção definida. | Para ajudar nos processos de backup de dados, o plano do AWS Backup deve ser definido para uma frequência e retenção mínimas. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups. Essa regra permite definir os parâmetros requiredFrequencyValue (padrão do Config: 1), requiredRetentionDays (padrão do Config: 35) e requiredFrequencyUnit (padrão do Config: dias). O valor real deve refletir os requisitos da organização. | |
| 3.1 | Reduza ao mínimo o armazenamento de dados do titular do cartão, implementando políticas, procedimentos e processos de retenção e descarte de dados que incluam pelo menos o seguinte para todo o armazenamento de dados do titular do cartão (cardholder data, CHD): • Limite a quantidade de armazenamento de dados e o tempo de retenção ao necessário para fins legais e regulatórios e/ou requisitos comerciais • Requisitos específicos de retenção para dados do titular do cartão • Processos para exclusão segura de dados quando não forem mais necessários • Um processo trimestral para identificar e excluir com segurança dados armazenados do titular do cartão que excedam a retenção definida. | Para ajudar nos processos de backup de dados, garanta que seus pontos de recuperação do AWS Backup tenham um período mínimo de retenção definido. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups. Essa regra permite que você defina o parâmetro requiredRetentionDays (padrão do Config: 35). O valor real deve refletir os requisitos da organização. | |
| 3.1 | Reduza ao mínimo o armazenamento de dados do titular do cartão, implementando políticas, procedimentos e processos de retenção e descarte de dados que incluam pelo menos o seguinte para todo o armazenamento de dados do titular do cartão (cardholder data, CHD): • Limite a quantidade de armazenamento de dados e o tempo de retenção ao necessário para fins legais e regulatórios e/ou requisitos comerciais • Requisitos específicos de retenção para dados do titular do cartão • Processos para exclusão segura de dados quando não forem mais necessários • Um processo trimestral para identificar e excluir com segurança dados armazenados do titular do cartão que excedam a retenção definida. | Quando os backups automáticos são habilitados, o Amazon ElastiCache cria um backup do cluster diariamente. O backup pode ser retido por vários dias, conforme especificado pela organização. Os backups automáticos podem ajudar a proteger contra a perda de dados. Em caso de falha, é possível criar um cluster e restaurar os dados usando o backup mais recente. | |
| 3.4 | Torne o PAN ilegível em qualquer lugar onde ele esteja armazenado (inclusive em mídia digital portátil, mídia de backup e em logs) usando qualquer uma das seguintes abordagens: • Hashes unidirecionais baseados em criptografia forte (o hash deve ser de todo o PAN) • Truncamento (o hash não pode ser usado para substituir o segmento truncado do PAN) • Tokens de índice e pads (os pads devem ser armazenados com segurança) • Criptografia forte com processos e procedimentos de gerenciamento de chaves associados. Observação: é um esforço relativamente trivial para um indivíduo mal-intencionado reconstruir os dados PAN originais se tiver acesso à versão truncada e com hash de um PAN. Quando versões com hash e truncadas do mesmo PAN estiverem presentes no ambiente de uma entidade, devem ser implementados controles adicionais para garantir que as versões com hash e truncadas não possam ser correlacionadas para reconstruir o PAN original. | Habilite a criptografia esteja para os pontos de recuperação do AWS Backup. Como pode haver dados confidenciais em repouso, habilite a criptografia em repouso para ajudar a protegê-los. | |
| 3.4 | Torne o PAN ilegível em qualquer lugar onde ele esteja armazenado (inclusive em mídia digital portátil, mídia de backup e em logs) usando qualquer uma das seguintes abordagens: • Hashes unidirecionais baseados em criptografia forte (o hash deve ser de todo o PAN) • Truncamento (o hash não pode ser usado para substituir o segmento truncado do PAN) • Tokens de índice e pads (os pads devem ser armazenados com segurança) • Criptografia forte com processos e procedimentos de gerenciamento de chaves associados. Observação: é um esforço relativamente trivial para um indivíduo mal-intencionado reconstruir os dados PAN originais se tiver acesso à versão truncada e com hash de um PAN. Quando versões com hash e truncadas do mesmo PAN estiverem presentes no ambiente de uma entidade, devem ser implementados controles adicionais para garantir que as versões com hash e truncadas não possam ser correlacionadas para reconstruir o PAN original. | Como pode haver dados confidenciais, e para ajudar a proteger os dados em repouso, habilite a criptografia para as trilhas do AWS CloudTrail. | |
| 3.4 | Torne o PAN ilegível em qualquer lugar onde ele esteja armazenado (inclusive em mídia digital portátil, mídia de backup e em logs) usando qualquer uma das seguintes abordagens: • Hashes unidirecionais baseados em criptografia forte (o hash deve ser de todo o PAN) • Truncamento (o hash não pode ser usado para substituir o segmento truncado do PAN) • Tokens de índice e pads (os pads devem ser armazenados com segurança) • Criptografia forte com processos e procedimentos de gerenciamento de chaves associados. Observação: é um esforço relativamente trivial para um indivíduo mal-intencionado reconstruir os dados PAN originais se tiver acesso à versão truncada e com hash de um PAN. Quando versões com hash e truncadas do mesmo PAN estiverem presentes no ambiente de uma entidade, devem ser implementados controles adicionais para garantir que as versões com hash e truncadas não possam ser correlacionadas para reconstruir o PAN original. | Para ajudar a proteger dados confidenciais em repouso, habilite a criptografia para os grupos do Amazon CloudWatch Logs. | |
| 3.4 | Torne o PAN ilegível em qualquer lugar onde ele esteja armazenado (inclusive em mídia digital portátil, mídia de backup e em logs) usando qualquer uma das seguintes abordagens: • Hashes unidirecionais baseados em criptografia forte (o hash deve ser de todo o PAN) • Truncamento (o hash não pode ser usado para substituir o segmento truncado do PAN) • Tokens de índice e pads (os pads devem ser armazenados com segurança) • Criptografia forte com processos e procedimentos de gerenciamento de chaves associados. Observação: é um esforço relativamente trivial para um indivíduo mal-intencionado reconstruir os dados PAN originais se tiver acesso à versão truncada e com hash de um PAN. Quando versões com hash e truncadas do mesmo PAN estiverem presentes no ambiente de uma entidade, devem ser implementados controles adicionais para garantir que as versões com hash e truncadas não possam ser correlacionadas para reconstruir o PAN original. | Para ajudar a proteger os dados em repouso, habilite a criptografia para os volumes do Amazon Elastic Block Store (Amazon EBS). Como pode haver dados confidenciais em repouso nesses volumes, habilite a criptografia em repouso para ajudar a protegê-los. | |
| 3.4 | Torne o PAN ilegível em qualquer lugar onde ele esteja armazenado (inclusive em mídia digital portátil, mídia de backup e em logs) usando qualquer uma das seguintes abordagens: • Hashes unidirecionais baseados em criptografia forte (o hash deve ser de todo o PAN) • Truncamento (o hash não pode ser usado para substituir o segmento truncado do PAN) • Tokens de índice e pads (os pads devem ser armazenados com segurança) • Criptografia forte com processos e procedimentos de gerenciamento de chaves associados. Observação: é um esforço relativamente trivial para um indivíduo mal-intencionado reconstruir os dados PAN originais se tiver acesso à versão truncada e com hash de um PAN. Quando versões com hash e truncadas do mesmo PAN estiverem presentes no ambiente de uma entidade, devem ser implementados controles adicionais para garantir que as versões com hash e truncadas não possam ser correlacionadas para reconstruir o PAN original. | Como pode haver dados confidenciais, e para ajudar a proteger os dados em repouso, habilite a criptografia para o Amazon Elastic File System (EFS). | |
| 3.4 | Torne o PAN ilegível em qualquer lugar onde ele esteja armazenado (inclusive em mídia digital portátil, mídia de backup e em logs) usando qualquer uma das seguintes abordagens: • Hashes unidirecionais baseados em criptografia forte (o hash deve ser de todo o PAN) • Truncamento (o hash não pode ser usado para substituir o segmento truncado do PAN) • Tokens de índice e pads (os pads devem ser armazenados com segurança) • Criptografia forte com processos e procedimentos de gerenciamento de chaves associados. Observação: é um esforço relativamente trivial para um indivíduo mal-intencionado reconstruir os dados PAN originais se tiver acesso à versão truncada e com hash de um PAN. Quando versões com hash e truncadas do mesmo PAN estiverem presentes no ambiente de uma entidade, devem ser implementados controles adicionais para garantir que as versões com hash e truncadas não possam ser correlacionadas para reconstruir o PAN original. | Como pode haver dados confidenciais, e para ajudar a proteger os dados em repouso, habilite a criptografia para os volumes do Amazon Elastic Block Store (Amazon EBS). | |
| 3.4 | Torne o PAN ilegível em qualquer lugar onde ele esteja armazenado (inclusive em mídia digital portátil, mídia de backup e em logs) usando qualquer uma das seguintes abordagens: • Hashes unidirecionais baseados em criptografia forte (o hash deve ser de todo o PAN) • Truncamento (o hash não pode ser usado para substituir o segmento truncado do PAN) • Tokens de índice e pads (os pads devem ser armazenados com segurança) • Criptografia forte com processos e procedimentos de gerenciamento de chaves associados. Observação: é um esforço relativamente trivial para um indivíduo mal-intencionado reconstruir os dados PAN originais se tiver acesso à versão truncada e com hash de um PAN. Quando versões com hash e truncadas do mesmo PAN estiverem presentes no ambiente de uma entidade, devem ser implementados controles adicionais para garantir que as versões com hash e truncadas não possam ser correlacionadas para reconstruir o PAN original. | Habilite a criptografia para os instantâneos do Amazon Relational Database Service (Amazon RDS). Como pode haver dados confidenciais em repouso, habilite a criptografia em repouso para ajudar a protegê-los. | |
| 3.4 | Torne o PAN ilegível em qualquer lugar onde ele esteja armazenado (inclusive em mídia digital portátil, mídia de backup e em logs) usando qualquer uma das seguintes abordagens: • Hashes unidirecionais baseados em criptografia forte (o hash deve ser de todo o PAN) • Truncamento (o hash não pode ser usado para substituir o segmento truncado do PAN) • Tokens de índice e pads (os pads devem ser armazenados com segurança) • Criptografia forte com processos e procedimentos de gerenciamento de chaves associados. Observação: é um esforço relativamente trivial para um indivíduo mal-intencionado reconstruir os dados PAN originais se tiver acesso à versão truncada e com hash de um PAN. Quando versões com hash e truncadas do mesmo PAN estiverem presentes no ambiente de uma entidade, devem ser implementados controles adicionais para garantir que as versões com hash e truncadas não possam ser correlacionadas para reconstruir o PAN original. | Para ajudar a proteger os dados em repouso, habilite a criptografia para as instâncias do Amazon Relational Database Service (Amazon RDS). Como pode haver dados confidenciais em repouso nas instâncias do Amazon RDS, habilite a criptografia em repouso para ajudar a protegê-los. | |
| 3.4 | Torne o PAN ilegível em qualquer lugar onde ele esteja armazenado (inclusive em mídia digital portátil, mídia de backup e em logs) usando qualquer uma das seguintes abordagens: • Hashes unidirecionais baseados em criptografia forte (o hash deve ser de todo o PAN) • Truncamento (o hash não pode ser usado para substituir o segmento truncado do PAN) • Tokens de índice e pads (os pads devem ser armazenados com segurança) • Criptografia forte com processos e procedimentos de gerenciamento de chaves associados. Observação: é um esforço relativamente trivial para um indivíduo mal-intencionado reconstruir os dados PAN originais se tiver acesso à versão truncada e com hash de um PAN. Quando versões com hash e truncadas do mesmo PAN estiverem presentes no ambiente de uma entidade, devem ser implementados controles adicionais para garantir que as versões com hash e truncadas não possam ser correlacionadas para reconstruir o PAN original. | Para proteger os dados em repouso, habilite a criptografia para os clusters do Amazon Redshift. Implante também as configurações necessárias nos clusters do Amazon Redshift. O registro em log de auditoria deve ser habilitado para fornecer informações sobre conexões e atividades do usuário no banco de dados. Essa regra exige que um valor seja definido para clusterDbEncrypted (padrão do Config: VERDADEIRO) e loggingEnabled (padrão do Config: VERDADEIRO). Os valores reais devem refletir as políticas da organização. | |
| 3.4 | Torne o PAN ilegível em qualquer lugar onde ele esteja armazenado (inclusive em mídia digital portátil, mídia de backup e em logs) usando qualquer uma das seguintes abordagens: • Hashes unidirecionais baseados em criptografia forte (o hash deve ser de todo o PAN) • Truncamento (o hash não pode ser usado para substituir o segmento truncado do PAN) • Tokens de índice e pads (os pads devem ser armazenados com segurança) • Criptografia forte com processos e procedimentos de gerenciamento de chaves associados. Observação: é um esforço relativamente trivial para um indivíduo mal-intencionado reconstruir os dados PAN originais se tiver acesso à versão truncada e com hash de um PAN. Quando versões com hash e truncadas do mesmo PAN estiverem presentes no ambiente de uma entidade, devem ser implementados controles adicionais para garantir que as versões com hash e truncadas não possam ser correlacionadas para reconstruir o PAN original. | Para ajudar a proteger os dados em repouso, habilite a criptografia para os buckets do Amazon Simple Storage Service (Amazon S3). Como pode haver dados confidenciais em repouso nos buckets do Amazon S3, habilite a criptografia para ajudar a protegê-los. | |
| 3.4 | Torne o PAN ilegível em qualquer lugar onde ele esteja armazenado (inclusive em mídia digital portátil, mídia de backup e em logs) usando qualquer uma das seguintes abordagens: • Hashes unidirecionais baseados em criptografia forte (o hash deve ser de todo o PAN) • Truncamento (o hash não pode ser usado para substituir o segmento truncado do PAN) • Tokens de índice e pads (os pads devem ser armazenados com segurança) • Criptografia forte com processos e procedimentos de gerenciamento de chaves associados. Observação: é um esforço relativamente trivial para um indivíduo mal-intencionado reconstruir os dados PAN originais se tiver acesso à versão truncada e com hash de um PAN. Quando versões com hash e truncadas do mesmo PAN estiverem presentes no ambiente de uma entidade, devem ser implementados controles adicionais para garantir que as versões com hash e truncadas não possam ser correlacionadas para reconstruir o PAN original. | Habilite a criptografia para os buckets do Amazon Simple Storage Service (Amazon S3). Como pode haver dados confidenciais em repouso em um bucket do Amazon S3, habilite a criptografia em repouso para ajudar a protegê-los. | |
| 3.4 | Torne o PAN ilegível em qualquer lugar onde ele esteja armazenado (inclusive em mídia digital portátil, mídia de backup e em logs) usando qualquer uma das seguintes abordagens: • Hashes unidirecionais baseados em criptografia forte (o hash deve ser de todo o PAN) • Truncamento (o hash não pode ser usado para substituir o segmento truncado do PAN) • Tokens de índice e pads (os pads devem ser armazenados com segurança) • Criptografia forte com processos e procedimentos de gerenciamento de chaves associados. Observação: é um esforço relativamente trivial para um indivíduo mal-intencionado reconstruir os dados PAN originais se tiver acesso à versão truncada e com hash de um PAN. Quando versões com hash e truncadas do mesmo PAN estiverem presentes no ambiente de uma entidade, devem ser implementados controles adicionais para garantir que as versões com hash e truncadas não possam ser correlacionadas para reconstruir o PAN original. | Para ajudar a proteger os dados em repouso, habilite a criptografia com o AWS Key Management Service (AWS KMS) para o endpoint do SageMaker. Como pode haver dados confidenciais em repouso no endpoint do SageMaker, habilite a criptografia em repouso para ajudar a protegê-los. | |
| 3.4 | Torne o PAN ilegível em qualquer lugar onde ele esteja armazenado (inclusive em mídia digital portátil, mídia de backup e em logs) usando qualquer uma das seguintes abordagens: • Hashes unidirecionais baseados em criptografia forte (o hash deve ser de todo o PAN) • Truncamento (o hash não pode ser usado para substituir o segmento truncado do PAN) • Tokens de índice e pads (os pads devem ser armazenados com segurança) • Criptografia forte com processos e procedimentos de gerenciamento de chaves associados. Observação: é um esforço relativamente trivial para um indivíduo mal-intencionado reconstruir os dados PAN originais se tiver acesso à versão truncada e com hash de um PAN. Quando versões com hash e truncadas do mesmo PAN estiverem presentes no ambiente de uma entidade, devem ser implementados controles adicionais para garantir que as versões com hash e truncadas não possam ser correlacionadas para reconstruir o PAN original. | Para ajudar a proteger os dados em repouso, habilite a criptografia com o AWS Key Management Service (AWS KMS) para o caderno do SageMaker. Como pode haver dados confidenciais em repouso no cadernodo SageMaker, habilite a criptografia em repouso para ajudar a protegê-los. | |
| 3.4 | Torne o PAN ilegível em qualquer lugar onde ele esteja armazenado (inclusive em mídia digital portátil, mídia de backup e em logs) usando qualquer uma das seguintes abordagens: • Hashes unidirecionais baseados em criptografia forte (o hash deve ser de todo o PAN) • Truncamento (o hash não pode ser usado para substituir o segmento truncado do PAN) • Tokens de índice e pads (os pads devem ser armazenados com segurança) • Criptografia forte com processos e procedimentos de gerenciamento de chaves associados. Observação: é um esforço relativamente trivial para um indivíduo mal-intencionado reconstruir os dados PAN originais se tiver acesso à versão truncada e com hash de um PAN. Quando versões com hash e truncadas do mesmo PAN estiverem presentes no ambiente de uma entidade, devem ser implementados controles adicionais para garantir que as versões com hash e truncadas não possam ser correlacionadas para reconstruir o PAN original. | Para ajudar a proteger os dados em repouso, use o AWS Key Management Service (AWS KMS) para garantir que os tópicos do Amazon Simple Notification Service (Amazon SNS) exijam criptografia. Como pode haver dados confidenciais em repouso em mensagens publicadas, habilite a criptografia em repouso para ajudar a protegê-los. | |
| 3.5.2 | Restrinja o acesso às chaves criptográficas ao menor número necessário de responsáveis. | O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham ações bloqueadas em todas as chaves do AWS Key Management Service. Ter mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres. Essa regra permite que você defina o parâmetro blockedActionsPatterns. (Valor do Práticas Recomendadas de Segurança Básica da AWS: kms:Decrypt e kms:ReEncryptFrom). Os valores reais devem refletir as políticas da organização. | |
| 3.5.2 | Restrinja o acesso às chaves criptográficas ao menor número necessário de responsáveis. | Assegure que um usuário, um perfil ou um grupo do AWS Identity and Access Management (IAM) não tenha uma política em linha para bloquear ações em todas as chaves do AWS Key Management Service. A AWSrecomenda usar políticas gerenciadas, em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o versionamento, a reversão e a delegação do gerenciamento de permissões. Essa regra permite que você defina o parâmetro blockedActionsPatterns. (Valor do Práticas Recomendadas de Segurança Básica da AWS: kms:Decrypt e kms:ReEncryptFrom). Os valores reais devem refletir as políticas da organização. | |
| 3.5.3 | Armazene sempre as chaves secretas e privadas usadas para criptografar/descriptografar os dados do titular do cartão em uma (ou mais) das seguintes formas: • Criptografadas com uma chave de criptografia que seja pelo menos tão forte quanto a chave de criptografia de dados e que seja armazenada separadamente da chave de criptografia de dados • Dentro de um dispositivo criptográfico seguro (como um módulo de segurança (HSM) de hardware (host) ou um dispositivo de ponto de interação aprovado pelo PTS) • Como pelo menos dois componentes de chave completos ou compartilhamentos de chaves, de acordo com um método aceito pelo setor. Observação: não é necessário que as chaves públicas sejam armazenadas em uma dessas formas. | Habilite a criptografia para os buckets do Amazon Simple Storage Service (Amazon S3). Como pode haver dados confidenciais em repouso em um bucket do Amazon S3, habilite a criptografia em repouso para ajudar a protegê-los. | |
| 3.5.3 | Armazene sempre as chaves secretas e privadas usadas para criptografar/descriptografar os dados do titular do cartão em uma (ou mais) das seguintes formas: • Criptografadas com uma chave de criptografia que seja pelo menos tão forte quanto a chave de criptografia de dados e que seja armazenada separadamente da chave de criptografia de dados • Dentro de um dispositivo criptográfico seguro (como um módulo de segurança (HSM) de hardware (host) ou um dispositivo de ponto de interação aprovado pelo PTS) • Como pelo menos dois componentes de chave completos ou compartilhamentos de chaves, de acordo com um método aceito pelo setor. Observação: não é necessário que as chaves públicas sejam armazenadas em uma dessas formas. | Para ajudar a proteger os dados em repouso, habilite a criptografia com o AWS Key Management Service (AWS KMS) para o endpoint do SageMaker. Como pode haver dados confidenciais em repouso no endpoint do SageMaker, habilite a criptografia em repouso para ajudar a protegê-los. | |
| 3.5.3 | Armazene sempre as chaves secretas e privadas usadas para criptografar/descriptografar os dados do titular do cartão em uma (ou mais) das seguintes formas: • Criptografadas com uma chave de criptografia que seja pelo menos tão forte quanto a chave de criptografia de dados e que seja armazenada separadamente da chave de criptografia de dados • Dentro de um dispositivo criptográfico seguro (como um módulo de segurança (HSM) de hardware (host) ou um dispositivo de ponto de interação aprovado pelo PTS) • Como pelo menos dois componentes de chave completos ou compartilhamentos de chaves, de acordo com um método aceito pelo setor. Observação: não é necessário que as chaves públicas sejam armazenadas em uma dessas formas. | Para ajudar a proteger os dados em repouso, habilite a criptografia com o AWS Key Management Service (AWS KMS) para o caderno do SageMaker. Como pode haver dados confidenciais em repouso no cadernodo SageMaker, habilite a criptografia em repouso para ajudar a protegê-los. | |
| 3.6.4 | Mudanças de chave criptográfica para chaves que chegaram ao final de seu criptoperíodo (por exemplo, após um período definido e/ou após uma certa quantidade de texto cifrado ter sido produzida por determinada chave), conforme definido pelo fornecedor de aplicações associado ou proprietário da chave e com base nas práticas recomendadas e diretrizes do setor (por exemplo, Publicação Especial NIST 800-57). | Habilite a alternância de chaves para que sejam usadas alternadamente depois de atingirem o final do período criptográfico. | |
| 3.6.5 | Retirada ou substituição (por exemplo, arquivamento, destruição e/ou revogação) de chaves conforme considerado necessário quando a integridade da chave tiver sido enfraquecida (por exemplo, saída de um funcionário com conhecimento de um componente chave em texto não criptografado), ou quando há suspeita de que as chaves estão comprometidas. Observação: se chaves criptográficas retiradas ou substituídas precisarem ser retidas, essas chaves deverão ser arquivadas com segurança (por exemplo, usando uma chave de criptografia). As chaves criptográficas arquivadas devem ser usadas apenas para fins de descriptografia/verificação. | Para ajudar a proteger dados em repouso, as chaves mestras do cliente (CMKs) necessárias não devem estar programadas para exclusão no AWS Key Management Service (AWS KMS). Como às vezes a exclusão da chave é necessária, essa regra pode ajudar na verificação de todas as chaves programadas para exclusão, caso alguma delas sido programada de maneira não intencional. | |
| 3.6.7 | Prevenção de substituição não autorizada de chaves criptográficas. | Para ajudar a proteger dados em repouso, as chaves mestras do cliente (CMKs) necessárias não devem estar programadas para exclusão no AWS Key Management Service (AWS KMS). Como às vezes a exclusão da chave é necessária, essa regra pode ajudar na verificação de todas as chaves programadas para exclusão, caso alguma delas sido programada de maneira não intencional. | |
| 4.1 | Use criptografia forte e protocolos de segurança para proteger dados confidenciais do titular do cartão durante a transmissão em redes públicas abertas, incluindo o seguinte: • Somente chaves e certificados confiáveis são aceitos. • O protocolo em uso é compatível apenas com versões ou configurações seguras. • A força da criptografia é apropriada para a metodologia de criptografia em uso. Exemplos de redes públicas abertas incluem, mas não estão limitados a: • A Internet • Tecnologias sem fio, incluindo 802.11 e Bluetooth • Tecnologias celulares, como Sistema Global para Comunicações Móveis (GSM), Acesso Múltiplo por Divisão de Código (CDMA) • Serviço Geral de Pacotes de Rádio (GPRS) • Comunicações via satélite | Para proteger a integridade da rede, garanta que os certificados X509 sejam emitidos pelo AWS ACM. Esses certificados devem ser válidos e estar dentro do prazo de validade. Essa regra exige um valor para daysToExpiration (valor do Práticas Recomendadas de Segurança Básica da AWS: 90). O valor real deve refletir as políticas da organização. | |
| 4.1 | Use criptografia forte e protocolos de segurança para proteger dados confidenciais do titular do cartão durante a transmissão em redes públicas abertas, incluindo o seguinte: • Somente chaves e certificados confiáveis são aceitos. • O protocolo em uso é compatível apenas com versões ou configurações seguras. • A força da criptografia é apropriada para a metodologia de criptografia em uso. Exemplos de redes públicas abertas incluem, mas não estão limitados a: • A Internet • Tecnologias sem fio, incluindo 802.11 e Bluetooth • Tecnologias celulares, como Sistema Global para Comunicações Móveis (GSM), Acesso Múltiplo por Divisão de Código (CDMA) • Serviço Geral de Pacotes de Rádio (GPRS) • Comunicações via satélite | Para ajudar a proteger os dados em trânsito, garanta que o Application Load Balancer redirecione automaticamente as solicitações HTTP não criptografadas para HTTPS. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los. | |
| 4.1 | Use criptografia forte e protocolos de segurança para proteger dados confidenciais do titular do cartão durante a transmissão em redes públicas abertas, incluindo o seguinte: • Somente chaves e certificados confiáveis são aceitos. • O protocolo em uso é compatível apenas com versões ou configurações seguras. • A força da criptografia é apropriada para a metodologia de criptografia em uso. Exemplos de redes públicas abertas incluem, mas não estão limitados a: • A Internet • Tecnologias sem fio, incluindo 802.11 e Bluetooth • Tecnologias celulares, como Sistema Global para Comunicações Móveis (GSM), Acesso Múltiplo por Divisão de Código (CDMA) • Serviço Geral de Pacotes de Rádio (GPRS) • Comunicações via satélite | Configure os estágios da API REST do Amazon API Gateway com certificados SSL para permitir que os sistemas de back-end autentiquem o API Gateway como origem das solicitações. | |
| 4.1 | Use criptografia forte e protocolos de segurança para proteger dados confidenciais do titular do cartão durante a transmissão em redes públicas abertas, incluindo o seguinte: • Somente chaves e certificados confiáveis são aceitos. • O protocolo em uso é compatível apenas com versões ou configurações seguras. • A força da criptografia é apropriada para a metodologia de criptografia em uso. Exemplos de redes públicas abertas incluem, mas não estão limitados a: • A Internet • Tecnologias sem fio, incluindo 802.11 e Bluetooth • Tecnologias celulares, como Sistema Global para Comunicações Móveis (GSM), Acesso Múltiplo por Divisão de Código (CDMA) • Serviço Geral de Pacotes de Rádio (GPRS) • Comunicações via satélite | Habilite a criptografia de nó a nó para o Amazon OpenSearch Service. A criptografia de nó a nó permite a criptografia TLS 1.2 para todas as comunicações no Amazon Virtual Private Cloud (Amazon VPC). Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los. | |
| 4.1 | Use criptografia forte e protocolos de segurança para proteger dados confidenciais do titular do cartão durante a transmissão em redes públicas abertas, incluindo o seguinte: • Somente chaves e certificados confiáveis são aceitos. • O protocolo em uso é compatível apenas com versões ou configurações seguras. • A força da criptografia é apropriada para a metodologia de criptografia em uso. Exemplos de redes públicas abertas incluem, mas não estão limitados a: • A Internet • Tecnologias sem fio, incluindo 802.11 e Bluetooth • Tecnologias celulares, como Sistema Global para Comunicações Móveis (GSM), Acesso Múltiplo por Divisão de Código (CDMA) • Serviço Geral de Pacotes de Rádio (GPRS) • Comunicações via satélite | Configure os Elastic Load Balancers (ELBs) com receptores SSL ou HTTPS. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los. | |
| 4.1 | Use criptografia forte e protocolos de segurança para proteger dados confidenciais do titular do cartão durante a transmissão em redes públicas abertas, incluindo o seguinte: • Somente chaves e certificados confiáveis são aceitos. • O protocolo em uso é compatível apenas com versões ou configurações seguras. • A força da criptografia é apropriada para a metodologia de criptografia em uso. Exemplos de redes públicas abertas incluem, mas não estão limitados a: • A Internet • Tecnologias sem fio, incluindo 802.11 e Bluetooth • Tecnologias celulares, como Sistema Global para Comunicações Móveis (GSM), Acesso Múltiplo por Divisão de Código (CDMA) • Serviço Geral de Pacotes de Rádio (GPRS) • Comunicações via satélite | Como pode haver dados confidenciais, e para ajudar a proteger os dados em trânsito, habilite a criptografia para o Elastic Load Balancing. Use o AWS Certificate Manager para gerenciar, provisionar e implantar certificados SSL/TLS públicos e privados com recursos internos e serviços da AWS. | |
| 4.1 | Use criptografia forte e protocolos de segurança para proteger dados confidenciais do titular do cartão durante a transmissão em redes públicas abertas, incluindo o seguinte: • Somente chaves e certificados confiáveis são aceitos. • O protocolo em uso é compatível apenas com versões ou configurações seguras. • A força da criptografia é apropriada para a metodologia de criptografia em uso. Exemplos de redes públicas abertas incluem, mas não estão limitados a: • A Internet • Tecnologias sem fio, incluindo 802.11 e Bluetooth • Tecnologias celulares, como Sistema Global para Comunicações Móveis (GSM), Acesso Múltiplo por Divisão de Código (CDMA) • Serviço Geral de Pacotes de Rádio (GPRS) • Comunicações via satélite | Como pode haver dados confidenciais, e para ajudar a proteger os dados em trânsito, habilite o HTTPS para as conexões com os domínios do Amazon OpenSearch Service. | |
| 4.1 | Use criptografia forte e protocolos de segurança para proteger dados confidenciais do titular do cartão durante a transmissão em redes públicas abertas, incluindo o seguinte: • Somente chaves e certificados confiáveis são aceitos. • O protocolo em uso é compatível apenas com versões ou configurações seguras. • A força da criptografia é apropriada para a metodologia de criptografia em uso. Exemplos de redes públicas abertas incluem, mas não estão limitados a: • A Internet • Tecnologias sem fio, incluindo 802.11 e Bluetooth • Tecnologias celulares, como Sistema Global para Comunicações Móveis (GSM), Acesso Múltiplo por Divisão de Código (CDMA) • Serviço Geral de Pacotes de Rádio (GPRS) • Comunicações via satélite | Habilite a criptografia de nó a nó para o Amazon OpenSearch Service. A criptografia de nó a nó permite a criptografia TLS 1.2 para todas as comunicações no Amazon Virtual Private Cloud (Amazon VPC). Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los. | |
| 4.1 | Use criptografia forte e protocolos de segurança para proteger dados confidenciais do titular do cartão durante a transmissão em redes públicas abertas, incluindo o seguinte: • Somente chaves e certificados confiáveis são aceitos. • O protocolo em uso é compatível apenas com versões ou configurações seguras. • A força da criptografia é apropriada para a metodologia de criptografia em uso. Exemplos de redes públicas abertas incluem, mas não estão limitados a: • A Internet • Tecnologias sem fio, incluindo 802.11 e Bluetooth • Tecnologias celulares, como Sistema Global para Comunicações Móveis (GSM), Acesso Múltiplo por Divisão de Código (CDMA) • Serviço Geral de Pacotes de Rádio (GPRS) • Comunicações via satélite | Os clusters do Amazon Redshift devem exigir criptografia TLS/SSL para se conectar aos clientes SQL. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los. | |
| 4.1 | Use criptografia forte e protocolos de segurança para proteger dados confidenciais do titular do cartão durante a transmissão em redes públicas abertas, incluindo o seguinte: • Somente chaves e certificados confiáveis são aceitos. • O protocolo em uso é compatível apenas com versões ou configurações seguras. • A força da criptografia é apropriada para a metodologia de criptografia em uso. Exemplos de redes públicas abertas incluem, mas não estão limitados a: • A Internet • Tecnologias sem fio, incluindo 802.11 e Bluetooth • Tecnologias celulares, como Sistema Global para Comunicações Móveis (GSM), Acesso Múltiplo por Divisão de Código (CDMA) • Serviço Geral de Pacotes de Rádio (GPRS) • Comunicações via satélite | Para ajudar a proteger dados em trânsito, os buckets do Amazon Simple Storage Service (Amazon S3) devem exigir solicitações de uso do Secure Socket Layer (SSL). Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los. | |
| 6.2 | Verifique se todos os componentes do sistema e o software estão protegidos contra vulnerabilidades conhecidas instalando patches de segurança aplicáveis concedidos pelo fornecedor. Instale patches de segurança críticos em até um mês após o lançamento. Observação: os patches críticos de segurança devem ser identificados de acordo com o processo de classificação de risco definido no Requisito 6.1. | Habilitar atualizações gerenciadas da plataforma para um ambiente do Amazon Elastic Beanstalk garante que as últimas correções, atualizações e recursos de plataforma disponíveis para o ambiente sejam instalados. Uma das práticas recomendadas para proteger sistemas é manter a instalação de patches em dia. | |
| 6.2 | Verifique se todos os componentes do sistema e o software estão protegidos contra vulnerabilidades conhecidas instalando patches de segurança aplicáveis concedidos pelo fornecedor. Instale patches de segurança críticos em até um mês após o lançamento. Observação: os patches críticos de segurança devem ser identificados de acordo com o processo de classificação de risco definido no Requisito 6.1. | Use as associações do AWS Systems Manager para ajudar no inventário de plataformas e aplicações de software em uma organização. O AWS Systems Manager atribui um estado de configuração às instâncias gerenciadas e permite que você defina linhas de base de níveis de patch do sistema operacional, instalações de software, configurações de aplicações e outros detalhes sobre o ambiente. | |
| 6.2 | Verifique se todos os componentes do sistema e o software estão protegidos contra vulnerabilidades conhecidas instalando patches de segurança aplicáveis concedidos pelo fornecedor. Instale patches de segurança críticos em até um mês após o lançamento. Observação: os patches críticos de segurança devem ser identificados de acordo com o processo de classificação de risco definido no Requisito 6.1. | Habilite essa regra para ajudar na identificação e documentação das vulnerabilidades do Amazon Elastic Compute Cloud (Amazon EC2). A regra verifica se a instância do Amazon EC2 está em conformidade com os patches no AWS Systems Manager, conforme exigido pelas políticas e pelos procedimentos da organização. | |
| 6.2 | Verifique se todos os componentes do sistema e o software estão protegidos contra vulnerabilidades conhecidas instalando patches de segurança aplicáveis concedidos pelo fornecedor. Instale patches de segurança críticos em até um mês após o lançamento. Observação: os patches críticos de segurança devem ser identificados de acordo com o processo de classificação de risco definido no Requisito 6.1. | As atualizações de segurança e patches são implantadas automaticamente nas tarefas do AWS Fargate. Se for encontrado um problema de segurança que afeta uma versão da plataforma do AWS Fargate, a AWS corrigirá a versão da plataforma. Para ajudar no gerenciamento de patches de suas tarefas do Amazon Elastic Container Service (ECS) executando o AWS Fargate, atualize as tarefas autônomas de seus serviços para usar a versão mais recente da plataforma. | |
| 6.2 | Verifique se todos os componentes do sistema e o software estão protegidos contra vulnerabilidades conhecidas instalando patches de segurança aplicáveis concedidos pelo fornecedor. Instale patches de segurança críticos em até um mês após o lançamento. Observação: os patches críticos de segurança devem ser identificados de acordo com o processo de classificação de risco definido no Requisito 6.1. | Habilite atualizações automáticas de versões secundárias nas instâncias do Amazon Relational Database Service (RDS) para garantir que as últimas atualizações de versões secundárias do sistema de gerenciamento de banco de dados relacional (RDBMS) estejam instaladas, o que pode incluir patches de segurança e correções de bugs. | |
| 6.2 | Verifique se todos os componentes do sistema e o software estão protegidos contra vulnerabilidades conhecidas instalando patches de segurança aplicáveis concedidos pelo fornecedor. Instale patches de segurança críticos em até um mês após o lançamento. Observação: os patches críticos de segurança devem ser identificados de acordo com o processo de classificação de risco definido no Requisito 6.1. | Essa regra garante que os clusters do Amazon Redshift tenham as configurações preferidas da organização. Especificamente, que eles tenham janelas de manutenção preferenciais e períodos automatizados de retenção de instantâneos para o banco de dados. Essa regra exige que você defina o allowVersionUpgrade. O padrão é true. Também permite definir opcionalmente o preferredMaintenanceWindow (o padrão é sat:16:00-sat:16:30) e o automatedSnapshotRetentionPeriod (o padrão é 1). Os valores reais devem refletir as políticas da organização. | |
| 6.3.2 | Revise o código personalizado antes de liberá-lo para produção ou clientes, a fim de identificar qualquer vulnerabilidade potencial de codificação (usando processos manuais ou automatizados) para incluir pelo menos o seguinte: • As alterações no código são revisadas por indivíduos que não sejam o autor do código de origem e por indivíduos cientes de técnicas de revisão de código e práticas de codificação segura. • As revisões de código garantem que o código seja desenvolvido de acordo com as diretrizes de codificação segura. • As correções apropriadas são implementadas antes do lançamento. • Os resultados da revisão do código são analisados e aprovados pela administração antes da divulgação. (Continua na próxima página) | A verificação de imagem do Amazon Elastic Container Repository (ECR) ajuda a identificar vulnerabilidades de software nas imagens do contêiner. Habilitar a verificação de imagens em repositórios do ECR adiciona uma camada de verificação da integridade e segurança das imagens que estão sendo armazenadas. | |
| 6.6 | Para aplicações web voltadas ao público, aborde novas ameaças e vulnerabilidades continuamente e garanta que essas aplicações estejam protegidas contra ataques conhecidos por um dos seguintes métodos: • Revisão de aplicações web voltadas ao público por meio de ferramentas ou métodos manuais ou automatizados de avaliação de segurança de vulnerabilidades de aplicações, ao menos a cada e após qualquer alteração. Observação: esta avaliação não é igual às verificações de vulnerabilidade realizadas para o Requisito 11.2. • Instalar uma solução técnica automatizada que detecte e impeça ataques baseados na web (por exemplo, um firewall de aplicações web) na frente de aplicações web voltadas ao público, para verificar continuamente todo o tráfego. | Para ajudar na proteção de aplicações contra vulnerabilidades de dessincronização de HTTP, habilite o modo de mitigação de dessincronização de HTTP nos Application Load Balancers. Problemas de dessincronização de HTTP podem levar ao contrabando de solicitações e tornar suas aplicações vulneráveis ao envenenamento da fila de solicitações ou do cache. Os modos de mitigação de dessincronização são: monitorado, defensivo e mais rigoroso. Ddefensivo é o modo padrão. | |
| 6.6 | Para aplicações web voltadas ao público, aborde novas ameaças e vulnerabilidades continuamente e garanta que essas aplicações estejam protegidas contra ataques conhecidos por um dos seguintes métodos: • Revisão de aplicações web voltadas ao público por meio de ferramentas ou métodos manuais ou automatizados de avaliação de segurança de vulnerabilidades de aplicações, ao menos a cada e após qualquer alteração. Observação: esta avaliação não é igual às verificações de vulnerabilidade realizadas para o Requisito 11.2. • Instalar uma solução técnica automatizada que detecte e impeça ataques baseados na web (por exemplo, um firewall de aplicações web) na frente de aplicações web voltadas ao público, para verificar continuamente todo o tráfego. | Habilite o AWS WAF nos Elastic Load Balancers (ELBs) para ajudar a proteger aplicações web. Um WAF ajuda a proteger aplicações web ou APIs contra explorações comuns da web. Essas explorações da web podem afetar a disponibilidade, comprometer a segurança ou consumir recursos excessivos em seu ambiente. | |
| 6.6 | Para aplicações web voltadas ao público, aborde novas ameaças e vulnerabilidades continuamente e garanta que essas aplicações estejam protegidas contra ataques conhecidos por um dos seguintes métodos: • Revisão de aplicações web voltadas ao público por meio de ferramentas ou métodos manuais ou automatizados de avaliação de segurança de vulnerabilidades de aplicações, ao menos a cada e após qualquer alteração. Observação: esta avaliação não é igual às verificações de vulnerabilidade realizadas para o Requisito 11.2. • Instalar uma solução técnica automatizada que detecte e impeça ataques baseados na web (por exemplo, um firewall de aplicações web) na frente de aplicações web voltadas ao público, para verificar continuamente todo o tráfego. | O AWS WAF possibilita que você configure um conjunto de regras [chamado de lista de controle de acesso à web (ACL da web)] que permitem, bloqueiam ou contam solicitações da web com base em regras e condições de segurança da web personalizáveis que você define. Associe seu estágio do Amazon API Gateway a uma ACL da web do WAF para protegê-lo contra ataques mal-intencionados. | |
| 6.6 | Para aplicações web voltadas ao público, aborde novas ameaças e vulnerabilidades continuamente e garanta que essas aplicações estejam protegidas contra ataques conhecidos por um dos seguintes métodos: • Revisão de aplicações web voltadas ao público por meio de ferramentas ou métodos manuais ou automatizados de avaliação de segurança de vulnerabilidades de aplicações, ao menos a cada e após qualquer alteração. Observação: esta avaliação não é igual às verificações de vulnerabilidade realizadas para o Requisito 11.2. • Instalar uma solução técnica automatizada que detecte e impeça ataques baseados na web (por exemplo, um firewall de aplicações web) na frente de aplicações web voltadas ao público, para verificar continuamente todo o tráfego. | Garanta que o AWS WAF tenha uma regra que não esteja vazia. Uma regra sem condições pode resultar em comportamento não intencional. | |
| 6.6 | Para aplicações web voltadas ao público, aborde novas ameaças e vulnerabilidades continuamente e garanta que essas aplicações estejam protegidas contra ataques conhecidos por um dos seguintes métodos: • Revisão de aplicações web voltadas ao público por meio de ferramentas ou métodos manuais ou automatizados de avaliação de segurança de vulnerabilidades de aplicações, ao menos a cada e após qualquer alteração. Observação: esta avaliação não é igual às verificações de vulnerabilidade realizadas para o Requisito 11.2. • Instalar uma solução técnica automatizada que detecte e impeça ataques baseados na web (por exemplo, um firewall de aplicações web) na frente de aplicações web voltadas ao público, para verificar continuamente todo o tráfego. | O AWS WAF deve ter um grupo de regras que não esteja vazio. Um grupo de regras vazio pode resultar em um comportamento não intencional. | |
| 6.6 | Para aplicações web voltadas ao público, aborde novas ameaças e vulnerabilidades continuamente e garanta que essas aplicações estejam protegidas contra ataques conhecidos por um dos seguintes métodos: • Revisão de aplicações web voltadas ao público por meio de ferramentas ou métodos manuais ou automatizados de avaliação de segurança de vulnerabilidades de aplicações, ao menos a cada e após qualquer alteração. Observação: esta avaliação não é igual às verificações de vulnerabilidade realizadas para o Requisito 11.2. • Instalar uma solução técnica automatizada que detecte e impeça ataques baseados na web (por exemplo, um firewall de aplicações web) na frente de aplicações web voltadas ao público, para verificar continuamente todo o tráfego. | Uma ACL da web anexada a um WAF pode conter uma coleção de regras e grupos de regras para inspecionar e controlar solicitações da web. Se uma ACL da web estiver vazia, o tráfego da web passará sem ser detectado ou acionado pelo WAF. | |
| 7.1.1 | Defina as necessidades de acesso para cada função, incluindo: • Componentes do sistema e recursos de dados que cada função precisa acessar para sua função de trabalho. • Nível de privilégio necessário (por exemplo, usuário, administrador etc.) para acessar recursos. | Para ajudar na implementação do princípio de privilégio mínimo, garanta que um usuário não raiz seja designado para acessar suas definições de tarefas do Amazon Elastic Container Service (Amazon ECS). | |
| 7.1.1 | Defina as necessidades de acesso para cada função, incluindo: • Componentes do sistema e recursos de dados que cada função precisa acessar para sua função de trabalho. • Nível de privilégio necessário (por exemplo, usuário, administrador etc.) para acessar recursos. | Essa regra verifica se as listas de controle de acesso (ACLs) são usadas para controle de acesso nos buckets do Amazon S3. As ACLs são mecanismos de controle de acesso herdados para buckets do Amazon S3 que são anteriores ao AWS Identity and Access Management (IAM). Em vez de ACLs, é uma prática recomendada usar políticas do IAM ou políticas de bucket do S3 para gerenciar mais facilmente o acesso aos buckets do S3. | |
| 7.1.1 | Defina as necessidades de acesso para cada função, incluindo: • Componentes do sistema e recursos de dados que cada função precisa acessar para sua função de trabalho. • Nível de privilégio necessário (por exemplo, usuário, administrador etc.) para acessar recursos. | Para ajudar na implementação do princípio de privilégio mínimo, as definições de tarefas do Amazon Elastic Container Service (Amazon ECS) não devem ter o privilégio elevado habilitado. Quando esse parâmetro é verdadeiro, o contêiner recebe privilégios elevados na instância de contêiner host (semelhante ao usuário raiz). | |
| 7.1.1 | Defina as necessidades de acesso para cada função, incluindo: • Componentes do sistema e recursos de dados que cada função precisa acessar para sua função de trabalho. • Nível de privilégio necessário (por exemplo, usuário, administrador etc.) para acessar recursos. | Habilitar o acesso somente de leitura aos contêineres do Amazon Elastic Container Service (ECS) pode ajudar a aderir à entidade principal de privilégio mínimo. Essa opção pode reduzir os vetores de ataque, pois o sistema de arquivos da instância do contêiner não pode ser modificado, a menos que tenha permissões explícitas de leitura e gravação. | |
| 7.1.1 | Defina as necessidades de acesso para cada função, incluindo: • Componentes do sistema e recursos de dados que cada função precisa acessar para sua função de trabalho. • Nível de privilégio necessário (por exemplo, usuário, administrador etc.) para acessar recursos. | A aplicação de um diretório raiz para um ponto de acesso do Amazon Elastic File System (Amazon EFS) ajuda a restringir o acesso aos dados, garantindo que os usuários do ponto de acesso só possam acessar arquivos do subdiretório especificado. | |
| 7.1.1 | Defina as necessidades de acesso para cada função, incluindo: • Componentes do sistema e recursos de dados que cada função precisa acessar para sua função de trabalho. • Nível de privilégio necessário (por exemplo, usuário, administrador etc.) para acessar recursos. | Para ajudar na implementação do princípio de privilégio mínimo, habilite a fiscalização do usuário para o Amazon Elastic File System (Amazon EFS). Quando habilitada, o Amazon EFS substitui os IDs de usuário e grupo do cliente NFS pela identidade configurada no ponto de acesso para todas as operações do sistema de arquivos e concede acesso somente a essa identidade de usuário imposta. | |
| 7.1.1 | Defina as necessidades de acesso para cada função, incluindo: • Componentes do sistema e recursos de dados que cada função precisa acessar para sua função de trabalho. • Nível de privilégio necessário (por exemplo, usuário, administrador etc.) para acessar recursos. | Ao habilitar o Kerberos para clusters do Amazon EMR, é possível gerenciar e incorporar as permissões e autorizações de acesso com os princípios de privilégio mínimo e separação de deveres. No Kerberos, os serviços e os usuários que precisam se autenticar são conhecidos como entidades principais. As entidades principais existem em um realm Kerberos. No realm, um servidor Kerberos é conhecido como o centro de distribuição de chaves (KDC). Ele fornece um meio para as entidades principais se autenticarem. A autenticação do KDC é feita com a emissão de tíquetes. O KDC mantém um banco de dados das entidades principais no realm, as senhas e outras informações administrativas sobre cada entidade principal. | |
| 7.1.1 | Defina as necessidades de acesso para cada função, incluindo: • Componentes do sistema e recursos de dados que cada função precisa acessar para sua função de trabalho. • Nível de privilégio necessário (por exemplo, usuário, administrador etc.) para acessar recursos. | O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham ações bloqueadas em todas as chaves do AWS Key Management Service. Ter mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres. Essa regra permite que você defina o parâmetro blockedActionsPatterns. (Valor do Práticas Recomendadas de Segurança Básica da AWS: kms:Decrypt e kms:ReEncryptFrom). Os valores reais devem refletir as políticas da organização. | |
| 7.1.1 | Defina as necessidades de acesso para cada função, incluindo: • Componentes do sistema e recursos de dados que cada função precisa acessar para sua função de trabalho. • Nível de privilégio necessário (por exemplo, usuário, administrador etc.) para acessar recursos. | O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, garantindo que os grupos do IAM tenham pelo menos um usuário. Colocar usuários em grupos com base nas permissões associadas ou na função de trabalho é uma forma de incorporar o privilégio mínimo. | |
| 7.1.1 | Defina as necessidades de acesso para cada função, incluindo: • Componentes do sistema e recursos de dados que cada função precisa acessar para sua função de trabalho. • Nível de privilégio necessário (por exemplo, usuário, administrador etc.) para acessar recursos. | Assegure que um usuário, um perfil ou um grupo do AWS Identity and Access Management (IAM) não tenha uma política em linha para bloquear ações em todas as chaves do AWS Key Management Service. A AWSrecomenda usar políticas gerenciadas, em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o versionamento, a reversão e a delegação do gerenciamento de permissões. Essa regra permite que você defina o parâmetro blockedActionsPatterns. (Valor do Práticas Recomendadas de Segurança Básica da AWS: kms:Decrypt e kms:ReEncryptFrom). Os valores reais devem refletir as políticas da organização. | |
| 7.1.1 | Defina as necessidades de acesso para cada função, incluindo: • Componentes do sistema e recursos de dados que cada função precisa acessar para sua função de trabalho. • Nível de privilégio necessário (por exemplo, usuário, administrador etc.) para acessar recursos. | Assegure que um usuário, um perfil ou um grupo do AWS Identity and Access Management (IAM) não tenha uma política em linha para controlar o acesso a sistemas e ativos. A AWS recomenda usar políticas gerenciadas, em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o versionamento, a reversão e a delegação do gerenciamento de permissões. | |
| 7.1.1 | Defina as necessidades de acesso para cada função, incluindo: • Componentes do sistema e recursos de dados que cada função precisa acessar para sua função de trabalho. • Nível de privilégio necessário (por exemplo, usuário, administrador etc.) para acessar recursos. | O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham "Effect": "Allow" com "Action": "*" por "Resource": "*". Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres. | |
| 7.1.1 | Defina as necessidades de acesso para cada função, incluindo: • Componentes do sistema e recursos de dados que cada função precisa acessar para sua função de trabalho. • Nível de privilégio necessário (por exemplo, usuário, administrador etc.) para acessar recursos. | Garanta que as ações do IAM estejam restritas somente às ações necessárias. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres. | |
| 7.1.1 | Defina as necessidades de acesso para cada função, incluindo: • Componentes do sistema e recursos de dados que cada função precisa acessar para sua função de trabalho. • Nível de privilégio necessário (por exemplo, usuário, administrador etc.) para acessar recursos. | O acesso a sistemas e ativos pode ser controlado verificando se o usuário raiz não tem chaves de acesso anexadas ao seu perfil do AWS Identity and Access Management (IAM). Exclua as chaves de acesso raiz. Em vez disso, crie e use Contas da AWS baseadas em perfis para ajudar a incorporar o princípio da funcionalidade mínima. | |
| 7.1.1 | Defina as necessidades de acesso para cada função, incluindo: • Componentes do sistema e recursos de dados que cada função precisa acessar para sua função de trabalho. • Nível de privilégio necessário (por exemplo, usuário, administrador etc.) para acessar recursos. | O AWS Identity and Access Management (IAM) pode ajudar a restringir permissões e autorizações de acesso garantindo que os usuários sejam membros de pelo menos um grupo. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres. | |
| 7.1.1 | Defina as necessidades de acesso para cada função, incluindo: • Componentes do sistema e recursos de dados que cada função precisa acessar para sua função de trabalho. • Nível de privilégio necessário (por exemplo, usuário, administrador etc.) para acessar recursos. | Essa regra garante que as políticas do AWS Identity and Access Management (IAM) sejam anexadas apenas a grupos ou perfis para controlar o acesso a sistemas e ativos. A atribuição de privilégios por grupo ou perfil ajuda a reduzir a oportunidade de uma identidade receber ou reter privilégios excessivos. | |
| 7.1.1 | Defina as necessidades de acesso para cada função, incluindo: • Componentes do sistema e recursos de dados que cada função precisa acessar para sua função de trabalho. • Nível de privilégio necessário (por exemplo, usuário, administrador etc.) para acessar recursos. | Habilite o controle de acesso detalhado nos domínios do Amazon OpenSearch Service. O controle de acesso detalhado fornece mecanismos de autorização aprimorados para obter acesso de privilégio mínimo aos domínios do Amazon OpenSearch Service. Ele permite o controle de acesso ao domínio baseado em funções, bem como segurança em nível de índice, documento e campo, suporte para multilocação de painéis do OpenSearch Service e autenticação básica HTTP para o OpenSearch Service e Kibana. | |
| 7.1.2 | Restrinja o acesso a IDs de usuários privilegiados aos privilégios mínimos necessários para executar as responsabilidades do trabalho. | O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham ações bloqueadas em todas as chaves do AWS Key Management Service. Ter mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres. Essa regra permite que você defina o parâmetro blockedActionsPatterns. (Valor do Práticas Recomendadas de Segurança Básica da AWS: kms:Decrypt e kms:ReEncryptFrom). Os valores reais devem refletir as políticas da organização. | |
| 7.1.2 | Restrinja o acesso a IDs de usuários privilegiados aos privilégios mínimos necessários para executar as responsabilidades do trabalho. | O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, garantindo que os grupos do IAM tenham pelo menos um usuário. Colocar usuários em grupos com base nas permissões associadas ou na função de trabalho é uma forma de incorporar o privilégio mínimo. | |
| 7.1.2 | Restrinja o acesso a IDs de usuários privilegiados aos privilégios mínimos necessários para executar as responsabilidades do trabalho. | Assegure que um usuário, um perfil ou um grupo do AWS Identity and Access Management (IAM) não tenha uma política em linha para bloquear ações em todas as chaves do AWS Key Management Service. A AWSrecomenda usar políticas gerenciadas, em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o versionamento, a reversão e a delegação do gerenciamento de permissões. Essa regra permite que você defina o parâmetro blockedActionsPatterns. (Valor do Práticas Recomendadas de Segurança Básica da AWS: kms:Decrypt e kms:ReEncryptFrom). Os valores reais devem refletir as políticas da organização. | |
| 7.1.2 | Restrinja o acesso a IDs de usuários privilegiados aos privilégios mínimos necessários para executar as responsabilidades do trabalho. | Assegure que um usuário, um perfil ou um grupo do AWS Identity and Access Management (IAM) não tenha uma política em linha para controlar o acesso a sistemas e ativos. A AWS recomenda usar políticas gerenciadas, em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o versionamento, a reversão e a delegação do gerenciamento de permissões. | |
| 7.1.2 | Restrinja o acesso a IDs de usuários privilegiados aos privilégios mínimos necessários para executar as responsabilidades do trabalho. | O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham "Effect": "Allow" com "Action": "*" por "Resource": "*". Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres. | |
| 7.1.2 | Restrinja o acesso a IDs de usuários privilegiados aos privilégios mínimos necessários para executar as responsabilidades do trabalho. | Garanta que as ações do IAM estejam restritas somente às ações necessárias. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres. | |
| 7.1.2 | Restrinja o acesso a IDs de usuários privilegiados aos privilégios mínimos necessários para executar as responsabilidades do trabalho. | O acesso a sistemas e ativos pode ser controlado verificando se o usuário raiz não tem chaves de acesso anexadas ao seu perfil do AWS Identity and Access Management (IAM). Exclua as chaves de acesso raiz. Em vez disso, crie e use Contas da AWS baseadas em perfis para ajudar a incorporar o princípio da funcionalidade mínima. | |
| 7.1.2 | Restrinja o acesso a IDs de usuários privilegiados aos privilégios mínimos necessários para executar as responsabilidades do trabalho. | O AWS Identity and Access Management (IAM) pode ajudar a restringir permissões e autorizações de acesso garantindo que os usuários sejam membros de pelo menos um grupo. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres. | |
| 7.1.2 | Restrinja o acesso a IDs de usuários privilegiados aos privilégios mínimos necessários para executar as responsabilidades do trabalho. | Essa regra garante que as políticas do AWS Identity and Access Management (IAM) sejam anexadas apenas a grupos ou perfis para controlar o acesso a sistemas e ativos. A atribuição de privilégios por grupo ou perfil ajuda a reduzir a oportunidade de uma identidade receber ou reter privilégios excessivos. | |
| 7.2.1 | Estabeleça sistemas de controle de acesso para componentes do sistema que restringem o acesso com base nas informações essenciais de um usuário e que sejam definidos como "negar tudo", a menos que haja uma permissão específica. Esses sistemas de controle de acesso devem incluir o seguinte: cobertura de todos os componentes do sistema. | Para ajudar na implementação do princípio de privilégio mínimo, as definições de tarefas do Amazon Elastic Container Service (Amazon ECS) não devem ter o privilégio elevado habilitado. Quando esse parâmetro é verdadeiro, o contêiner recebe privilégios elevados na instância de contêiner host (semelhante ao usuário raiz). | |
| 7.2.1 | Estabeleça sistemas de controle de acesso para componentes do sistema que restringem o acesso com base nas informações essenciais de um usuário e que sejam definidos como "negar tudo", a menos que haja uma permissão específica. Esses sistemas de controle de acesso devem incluir o seguinte: cobertura de todos os componentes do sistema. | Habilitar o acesso somente de leitura aos contêineres do Amazon Elastic Container Service (ECS) pode ajudar a aderir à entidade principal de privilégio mínimo. Essa opção pode reduzir os vetores de ataque, pois o sistema de arquivos da instância do contêiner não pode ser modificado, a menos que tenha permissões explícitas de leitura e gravação. | |
| 7.2.1 | Estabeleça sistemas de controle de acesso para componentes do sistema que restringem o acesso com base nas informações essenciais de um usuário e que sejam definidos como "negar tudo", a menos que haja uma permissão específica. Esses sistemas de controle de acesso devem incluir o seguinte: cobertura de todos os componentes do sistema. | A aplicação de um diretório raiz para um ponto de acesso do Amazon Elastic File System (Amazon EFS) ajuda a restringir o acesso aos dados, garantindo que os usuários do ponto de acesso só possam acessar arquivos do subdiretório especificado. | |
| 7.2.1 | Estabeleça sistemas de controle de acesso para componentes do sistema que restringem o acesso com base nas informações essenciais de um usuário e que sejam definidos como "negar tudo", a menos que haja uma permissão específica. Esses sistemas de controle de acesso devem incluir o seguinte: cobertura de todos os componentes do sistema. | Para ajudar na implementação do princípio de privilégio mínimo, habilite a fiscalização do usuário para o Amazon Elastic File System (Amazon EFS). Quando habilitada, o Amazon EFS substitui os IDs de usuário e grupo do cliente NFS pela identidade configurada no ponto de acesso para todas as operações do sistema de arquivos e concede acesso somente a essa identidade de usuário imposta. | |
| 7.2.1 | Estabeleça sistemas de controle de acesso para componentes do sistema que restringem o acesso com base nas informações essenciais de um usuário e que sejam definidos como "negar tudo", a menos que haja uma permissão específica. Esses sistemas de controle de acesso devem incluir o seguinte: cobertura de todos os componentes do sistema. | Ao habilitar o Kerberos para clusters do Amazon EMR, é possível gerenciar e incorporar as permissões e autorizações de acesso com os princípios de privilégio mínimo e separação de deveres. No Kerberos, os serviços e os usuários que precisam se autenticar são conhecidos como entidades principais. As entidades principais existem em um realm Kerberos. No realm, um servidor Kerberos é conhecido como o centro de distribuição de chaves (KDC). Ele fornece um meio para as entidades principais se autenticarem. A autenticação do KDC é feita com a emissão de tíquetes. O KDC mantém um banco de dados das entidades principais no realm, as senhas e outras informações administrativas sobre cada entidade principal. | |
| 7.2.1 | Estabeleça sistemas de controle de acesso para componentes do sistema que restringem o acesso com base nas informações essenciais de um usuário e que sejam definidos como "negar tudo", a menos que haja uma permissão específica. Esses sistemas de controle de acesso devem incluir o seguinte: cobertura de todos os componentes do sistema. | O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham ações bloqueadas em todas as chaves do AWS Key Management Service. Ter mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres. Essa regra permite que você defina o parâmetro blockedActionsPatterns. (Valor do Práticas Recomendadas de Segurança Básica da AWS: kms:Decrypt e kms:ReEncryptFrom). Os valores reais devem refletir as políticas da organização. | |
| 7.2.1 | Estabeleça sistemas de controle de acesso para componentes do sistema que restringem o acesso com base nas informações essenciais de um usuário e que sejam definidos como "negar tudo", a menos que haja uma permissão específica. Esses sistemas de controle de acesso devem incluir o seguinte: cobertura de todos os componentes do sistema. | O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, garantindo que os grupos do IAM tenham pelo menos um usuário. Colocar usuários em grupos com base nas permissões associadas ou na função de trabalho é uma forma de incorporar o privilégio mínimo. | |
| 7.2.1 | Estabeleça sistemas de controle de acesso para componentes do sistema que restringem o acesso com base nas informações essenciais de um usuário e que sejam definidos como "negar tudo", a menos que haja uma permissão específica. Esses sistemas de controle de acesso devem incluir o seguinte: cobertura de todos os componentes do sistema. | Assegure que um usuário, um perfil ou um grupo do AWS Identity and Access Management (IAM) não tenha uma política em linha para bloquear ações em todas as chaves do AWS Key Management Service. A AWSrecomenda usar políticas gerenciadas, em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o versionamento, a reversão e a delegação do gerenciamento de permissões. Essa regra permite que você defina o parâmetro blockedActionsPatterns. (Valor do Práticas Recomendadas de Segurança Básica da AWS: kms:Decrypt e kms:ReEncryptFrom). Os valores reais devem refletir as políticas da organização. | |
| 7.2.1 | Estabeleça sistemas de controle de acesso para componentes do sistema que restringem o acesso com base nas informações essenciais de um usuário e que sejam definidos como "negar tudo", a menos que haja uma permissão específica. Esses sistemas de controle de acesso devem incluir o seguinte: cobertura de todos os componentes do sistema. | Assegure que um usuário, um perfil ou um grupo do AWS Identity and Access Management (IAM) não tenha uma política em linha para controlar o acesso a sistemas e ativos. A AWS recomenda usar políticas gerenciadas, em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o versionamento, a reversão e a delegação do gerenciamento de permissões. | |
| 7.2.1 | Estabeleça sistemas de controle de acesso para componentes do sistema que restringem o acesso com base nas informações essenciais de um usuário e que sejam definidos como "negar tudo", a menos que haja uma permissão específica. Esses sistemas de controle de acesso devem incluir o seguinte: cobertura de todos os componentes do sistema. | O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham "Effect": "Allow" com "Action": "*" por "Resource": "*". Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres. | |
| 7.2.1 | Estabeleça sistemas de controle de acesso para componentes do sistema que restringem o acesso com base nas informações essenciais de um usuário e que sejam definidos como "negar tudo", a menos que haja uma permissão específica. Esses sistemas de controle de acesso devem incluir o seguinte: cobertura de todos os componentes do sistema. | Garanta que as ações do IAM estejam restritas somente às ações necessárias. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres. | |
| 7.2.1 | Estabeleça sistemas de controle de acesso para componentes do sistema que restringem o acesso com base nas informações essenciais de um usuário e que sejam definidos como "negar tudo", a menos que haja uma permissão específica. Esses sistemas de controle de acesso devem incluir o seguinte: cobertura de todos os componentes do sistema. | O acesso a sistemas e ativos pode ser controlado verificando se o usuário raiz não tem chaves de acesso anexadas ao seu perfil do AWS Identity and Access Management (IAM). Exclua as chaves de acesso raiz. Em vez disso, crie e use Contas da AWS baseadas em perfis para ajudar a incorporar o princípio da funcionalidade mínima. | |
| 7.2.1 | Estabeleça sistemas de controle de acesso para componentes do sistema que restringem o acesso com base nas informações essenciais de um usuário e que sejam definidos como "negar tudo", a menos que haja uma permissão específica. Esses sistemas de controle de acesso devem incluir o seguinte: cobertura de todos os componentes do sistema. | O AWS Identity and Access Management (IAM) pode ajudar a restringir permissões e autorizações de acesso garantindo que os usuários sejam membros de pelo menos um grupo. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres. | |
| 7.2.1 | Estabeleça sistemas de controle de acesso para componentes do sistema que restringem o acesso com base nas informações essenciais de um usuário e que sejam definidos como "negar tudo", a menos que haja uma permissão específica. Esses sistemas de controle de acesso devem incluir o seguinte: cobertura de todos os componentes do sistema. | Essa regra garante que as políticas do AWS Identity and Access Management (IAM) sejam anexadas apenas a grupos ou perfis para controlar o acesso a sistemas e ativos. A atribuição de privilégios por grupo ou perfil ajuda a reduzir a oportunidade de uma identidade receber ou reter privilégios excessivos. | |
| 7.2.1 | Estabeleça sistemas de controle de acesso para componentes do sistema que restringem o acesso com base nas informações essenciais de um usuário e que sejam definidos como "negar tudo", a menos que haja uma permissão específica. Esses sistemas de controle de acesso devem incluir o seguinte: cobertura de todos os componentes do sistema. | Habilite o controle de acesso detalhado nos domínios do Amazon OpenSearch Service. O controle de acesso detalhado fornece mecanismos de autorização aprimorados para obter acesso de privilégio mínimo aos domínios do Amazon OpenSearch Service. Ele permite o controle de acesso ao domínio baseado em funções, bem como segurança em nível de índice, documento e campo, suporte para multilocação de painéis do OpenSearch Service e autenticação básica HTTP para o OpenSearch Service e Kibana. | |
| 7.2.2 | Estabeleça sistemas de controle de acesso para componentes do sistema que restringem o acesso com base nas informações essenciais de um usuário e que sejam definidos como "negar tudo", a menos que haja uma permissão específica. Esses sistemas de controle de acesso devem incluir o seguinte: atribuição de privilégios a indivíduos com base na classificação e função do cargo. | Para ajudar na implementação do princípio de privilégio mínimo, as definições de tarefas do Amazon Elastic Container Service (Amazon ECS) não devem ter o privilégio elevado habilitado. Quando esse parâmetro é verdadeiro, o contêiner recebe privilégios elevados na instância de contêiner host (semelhante ao usuário raiz). | |
| 7.2.2 | Estabeleça sistemas de controle de acesso para componentes do sistema que restringem o acesso com base nas informações essenciais de um usuário e que sejam definidos como "negar tudo", a menos que haja uma permissão específica. Esses sistemas de controle de acesso devem incluir o seguinte: atribuição de privilégios a indivíduos com base na classificação e função do cargo. | Habilitar o acesso somente de leitura aos contêineres do Amazon Elastic Container Service (ECS) pode ajudar a aderir à entidade principal de privilégio mínimo. Essa opção pode reduzir os vetores de ataque, pois o sistema de arquivos da instância do contêiner não pode ser modificado, a menos que tenha permissões explícitas de leitura e gravação. | |
| 7.2.2 | Estabeleça sistemas de controle de acesso para componentes do sistema que restringem o acesso com base nas informações essenciais de um usuário e que sejam definidos como "negar tudo", a menos que haja uma permissão específica. Esses sistemas de controle de acesso devem incluir o seguinte: atribuição de privilégios a indivíduos com base na classificação e função do cargo. | A aplicação de um diretório raiz para um ponto de acesso do Amazon Elastic File System (Amazon EFS) ajuda a restringir o acesso aos dados, garantindo que os usuários do ponto de acesso só possam acessar arquivos do subdiretório especificado. | |
| 7.2.2 | Estabeleça sistemas de controle de acesso para componentes do sistema que restringem o acesso com base nas informações essenciais de um usuário e que sejam definidos como "negar tudo", a menos que haja uma permissão específica. Esses sistemas de controle de acesso devem incluir o seguinte: atribuição de privilégios a indivíduos com base na classificação e função do cargo. | Para ajudar na implementação do princípio de privilégio mínimo, habilite a fiscalização do usuário para o Amazon Elastic File System (Amazon EFS). Quando habilitada, o Amazon EFS substitui os IDs de usuário e grupo do cliente NFS pela identidade configurada no ponto de acesso para todas as operações do sistema de arquivos e concede acesso somente a essa identidade de usuário imposta. | |
| 7.2.2 | Estabeleça sistemas de controle de acesso para componentes do sistema que restringem o acesso com base nas informações essenciais de um usuário e que sejam definidos como "negar tudo", a menos que haja uma permissão específica. Esses sistemas de controle de acesso devem incluir o seguinte: atribuição de privilégios a indivíduos com base na classificação e função do cargo. | Ao habilitar o Kerberos para clusters do Amazon EMR, é possível gerenciar e incorporar as permissões e autorizações de acesso com os princípios de privilégio mínimo e separação de deveres. No Kerberos, os serviços e os usuários que precisam se autenticar são conhecidos como entidades principais. As entidades principais existem em um realm Kerberos. No realm, um servidor Kerberos é conhecido como o centro de distribuição de chaves (KDC). Ele fornece um meio para as entidades principais se autenticarem. A autenticação do KDC é feita com a emissão de tíquetes. O KDC mantém um banco de dados das entidades principais no realm, as senhas e outras informações administrativas sobre cada entidade principal. | |
| 7.2.2 | Estabeleça sistemas de controle de acesso para componentes do sistema que restringem o acesso com base nas informações essenciais de um usuário e que sejam definidos como "negar tudo", a menos que haja uma permissão específica. Esses sistemas de controle de acesso devem incluir o seguinte: atribuição de privilégios a indivíduos com base na classificação e função do cargo. | O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham ações bloqueadas em todas as chaves do AWS Key Management Service. Ter mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres. Essa regra permite que você defina o parâmetro blockedActionsPatterns. (Valor do Práticas Recomendadas de Segurança Básica da AWS: kms:Decrypt e kms:ReEncryptFrom). Os valores reais devem refletir as políticas da organização. | |
| 7.2.2 | Estabeleça sistemas de controle de acesso para componentes do sistema que restringem o acesso com base nas informações essenciais de um usuário e que sejam definidos como "negar tudo", a menos que haja uma permissão específica. Esses sistemas de controle de acesso devem incluir o seguinte: atribuição de privilégios a indivíduos com base na classificação e função do cargo. | O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, garantindo que os grupos do IAM tenham pelo menos um usuário. Colocar usuários em grupos com base nas permissões associadas ou na função de trabalho é uma forma de incorporar o privilégio mínimo. | |
| 7.2.2 | Estabeleça sistemas de controle de acesso para componentes do sistema que restringem o acesso com base nas informações essenciais de um usuário e que sejam definidos como "negar tudo", a menos que haja uma permissão específica. Esses sistemas de controle de acesso devem incluir o seguinte: atribuição de privilégios a indivíduos com base na classificação e função do cargo. | Assegure que um usuário, um perfil ou um grupo do AWS Identity and Access Management (IAM) não tenha uma política em linha para bloquear ações em todas as chaves do AWS Key Management Service. A AWSrecomenda usar políticas gerenciadas, em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o versionamento, a reversão e a delegação do gerenciamento de permissões. Essa regra permite que você defina o parâmetro blockedActionsPatterns. (Valor do Práticas Recomendadas de Segurança Básica da AWS: kms:Decrypt e kms:ReEncryptFrom). Os valores reais devem refletir as políticas da organização. | |
| 7.2.2 | Estabeleça sistemas de controle de acesso para componentes do sistema que restringem o acesso com base nas informações essenciais de um usuário e que sejam definidos como "negar tudo", a menos que haja uma permissão específica. Esses sistemas de controle de acesso devem incluir o seguinte: atribuição de privilégios a indivíduos com base na classificação e função do cargo. | Assegure que um usuário, um perfil ou um grupo do AWS Identity and Access Management (IAM) não tenha uma política em linha para controlar o acesso a sistemas e ativos. A AWS recomenda usar políticas gerenciadas, em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o versionamento, a reversão e a delegação do gerenciamento de permissões. | |
| 7.2.2 | Estabeleça sistemas de controle de acesso para componentes do sistema que restringem o acesso com base nas informações essenciais de um usuário e que sejam definidos como "negar tudo", a menos que haja uma permissão específica. Esses sistemas de controle de acesso devem incluir o seguinte: atribuição de privilégios a indivíduos com base na classificação e função do cargo. | O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham "Effect": "Allow" com "Action": "*" por "Resource": "*". Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres. | |
| 7.2.2 | Estabeleça sistemas de controle de acesso para componentes do sistema que restringem o acesso com base nas informações essenciais de um usuário e que sejam definidos como "negar tudo", a menos que haja uma permissão específica. Esses sistemas de controle de acesso devem incluir o seguinte: atribuição de privilégios a indivíduos com base na classificação e função do cargo. | Garanta que as ações do IAM estejam restritas somente às ações necessárias. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres. | |
| 7.2.2 | Estabeleça sistemas de controle de acesso para componentes do sistema que restringem o acesso com base nas informações essenciais de um usuário e que sejam definidos como "negar tudo", a menos que haja uma permissão específica. Esses sistemas de controle de acesso devem incluir o seguinte: atribuição de privilégios a indivíduos com base na classificação e função do cargo. | O acesso a sistemas e ativos pode ser controlado verificando se o usuário raiz não tem chaves de acesso anexadas ao seu perfil do AWS Identity and Access Management (IAM). Exclua as chaves de acesso raiz. Em vez disso, crie e use Contas da AWS baseadas em perfis para ajudar a incorporar o princípio da funcionalidade mínima. | |
| 7.2.2 | Estabeleça sistemas de controle de acesso para componentes do sistema que restringem o acesso com base nas informações essenciais de um usuário e que sejam definidos como "negar tudo", a menos que haja uma permissão específica. Esses sistemas de controle de acesso devem incluir o seguinte: atribuição de privilégios a indivíduos com base na classificação e função do cargo. | O AWS Identity and Access Management (IAM) pode ajudar a restringir permissões e autorizações de acesso garantindo que os usuários sejam membros de pelo menos um grupo. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres. | |
| 7.2.2 | Estabeleça sistemas de controle de acesso para componentes do sistema que restringem o acesso com base nas informações essenciais de um usuário e que sejam definidos como "negar tudo", a menos que haja uma permissão específica. Esses sistemas de controle de acesso devem incluir o seguinte: atribuição de privilégios a indivíduos com base na classificação e função do cargo. | Essa regra garante que as políticas do AWS Identity and Access Management (IAM) sejam anexadas apenas a grupos ou perfis para controlar o acesso a sistemas e ativos. A atribuição de privilégios por grupo ou perfil ajuda a reduzir a oportunidade de uma identidade receber ou reter privilégios excessivos. | |
| 7.2.2 | Estabeleça sistemas de controle de acesso para componentes do sistema que restringem o acesso com base nas informações essenciais de um usuário e que sejam definidos como "negar tudo", a menos que haja uma permissão específica. Esses sistemas de controle de acesso devem incluir o seguinte: atribuição de privilégios a indivíduos com base na classificação e função do cargo. | Habilite o controle de acesso detalhado nos domínios do Amazon OpenSearch Service. O controle de acesso detalhado fornece mecanismos de autorização aprimorados para obter acesso de privilégio mínimo aos domínios do Amazon OpenSearch Service. Ele permite o controle de acesso ao domínio baseado em funções, bem como segurança em nível de índice, documento e campo, suporte para multilocação de painéis do OpenSearch Service e autenticação básica HTTP para o OpenSearch Service e Kibana. | |
| 7.2.3 | Configuração padrão “negar tudo”. | Essa regra verifica se as listas de controle de acesso (ACLs) são usadas para controle de acesso nos buckets do Amazon S3. As ACLs são mecanismos de controle de acesso herdados para buckets do Amazon S3 que são anteriores ao AWS Identity and Access Management (IAM). Em vez de ACLs, é uma prática recomendada usar políticas do IAM ou políticas de bucket do S3 para gerenciar mais facilmente o acesso aos buckets do S3. | |
| 8.1.1 | Atribua a todos os usuários uma ID exclusiva antes de permitir que eles acessem os componentes do sistema ou os dados do titular do cartão. | O acesso a sistemas e ativos pode ser controlado verificando se o usuário raiz não tem chaves de acesso anexadas ao seu perfil do AWS Identity and Access Management (IAM). Exclua as chaves de acesso raiz. Em vez disso, crie e use Contas da AWS baseadas em perfis para ajudar a incorporar o princípio da funcionalidade mínima. | |
| 8.1.4 | Remova/desative contas de usuários inativas em 90 dias. | O AWS Identity and Access Management (IAM) pode ajudar com permissões e autorizações de acesso verificando as senhas e chaves de acesso do IAM que não são usadas por um período especificado. Se essas credenciais não utilizadas forem identificadas, você deverá desabilitar e/ou removê-las, pois isso pode violar o princípio de privilégio mínimo. Essa regra exige que você defina um valor para maxCredentialUsageAge (padrão do Config: 90). O valor real deve refletir as políticas da organização. | |
| 8.2.1 | Uso de criptografia forte, renderização de todas as credenciais de autenticação (como senhas/frases) ilegíveis durante a transmissão e armazenamento em todos os componentes do sistema. | Para ajudar na implementação do princípio do privilégio mínimo, garanta que seu ambiente de projeto do Amazon CodeBuild não tenha o modo privilegiado habilitado. Essa configuração deve ser desabilitada para evitar o acesso não intencional às APIs do Docker, bem como ao hardware subjacente do contêiner. | |
| 8.2.1 | Uso de criptografia forte, renderização de todas as credenciais de autenticação (como senhas/frases) ilegíveis durante a transmissão e armazenamento em todos os componentes do sistema. | Como prática recomendada de segurança, passe informações confidenciais para contêineres como variáveis de ambiente. Você pode injetar dados com segurança em seus contêineres do Amazon Elastic Container Service (ECS) referenciando valores armazenados no AWS Systems Manager Parameter Store ou no AWS Secrets Manager na definição de contêiner de uma definição de tarefa do Amazon ECS. Em seguida, é possível expor suas informações confidenciais como variáveis de ambiente ou na configuração de log de um contêiner. | |
| 8.2.1 | Uso de criptografia forte, renderização de todas as credenciais de autenticação (como senhas/frases) ilegíveis durante a transmissão e armazenamento em todos os componentes do sistema. | Para ajudar a proteger os dados em trânsito, garanta que o Application Load Balancer redirecione automaticamente as solicitações HTTP não criptografadas para HTTPS. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los. | |
| 8.2.1 | Uso de criptografia forte, renderização de todas as credenciais de autenticação (como senhas/frases) ilegíveis durante a transmissão e armazenamento em todos os componentes do sistema. | Configure os estágios da API REST do Amazon API Gateway com certificados SSL para permitir que os sistemas de back-end autentiquem o API Gateway como origem das solicitações. | |
| 8.2.1 | Uso de criptografia forte, renderização de todas as credenciais de autenticação (como senhas/frases) ilegíveis durante a transmissão e armazenamento em todos os componentes do sistema. | Para ajudar a proteger os dados em repouso, habilite a criptografia para os volumes do Amazon Elastic Block Store (Amazon EBS). Como pode haver dados confidenciais em repouso nesses volumes, habilite a criptografia em repouso para ajudar a protegê-los. | |
| 8.2.1 | Uso de criptografia forte, renderização de todas as credenciais de autenticação (como senhas/frases) ilegíveis durante a transmissão e armazenamento em todos os componentes do sistema. | Como pode haver dados confidenciais, e para ajudar a proteger os dados em repouso, habilite a criptografia para o Amazon Elastic File System (EFS). | |
| 8.2.1 | Uso de criptografia forte, renderização de todas as credenciais de autenticação (como senhas/frases) ilegíveis durante a transmissão e armazenamento em todos os componentes do sistema. | Como pode haver dados confidenciais, e para ajudar a proteger os dados em repouso, habilite a criptografia para os domínios do Amazon OpenSearch Service (OpenSearch Service). | |
| 8.2.1 | Uso de criptografia forte, renderização de todas as credenciais de autenticação (como senhas/frases) ilegíveis durante a transmissão e armazenamento em todos os componentes do sistema. | Configure os Elastic Load Balancers (ELBs) com receptores SSL ou HTTPS. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los. | |
| 8.2.1 | Uso de criptografia forte, renderização de todas as credenciais de autenticação (como senhas/frases) ilegíveis durante a transmissão e armazenamento em todos os componentes do sistema. | Como pode haver dados confidenciais, e para ajudar a proteger os dados em repouso, habilite a criptografia para os volumes do Amazon Elastic Block Store (Amazon EBS). | |
| 8.2.1 | Uso de criptografia forte, renderização de todas as credenciais de autenticação (como senhas/frases) ilegíveis durante a transmissão e armazenamento em todos os componentes do sistema. | Como pode haver dados confidenciais, e para ajudar a proteger os dados em repouso, habilite a criptografia para os domínios do Amazon OpenSearch Service. | |
| 8.2.1 | Uso de criptografia forte, renderização de todas as credenciais de autenticação (como senhas/frases) ilegíveis durante a transmissão e armazenamento em todos os componentes do sistema. | Habilite a criptografia para os instantâneos do Amazon Relational Database Service (Amazon RDS). Como pode haver dados confidenciais em repouso, habilite a criptografia em repouso para ajudar a protegê-los. | |
| 8.2.1 | Uso de criptografia forte, renderização de todas as credenciais de autenticação (como senhas/frases) ilegíveis durante a transmissão e armazenamento em todos os componentes do sistema. | Para ajudar a proteger os dados em repouso, habilite a criptografia para as instâncias do Amazon Relational Database Service (Amazon RDS). Como pode haver dados confidenciais em repouso nas instâncias do Amazon RDS, habilite a criptografia em repouso para ajudar a protegê-los. | |
| 8.2.1 | Uso de criptografia forte, renderização de todas as credenciais de autenticação (como senhas/frases) ilegíveis durante a transmissão e armazenamento em todos os componentes do sistema. | Para proteger os dados em repouso, habilite a criptografia para os clusters do Amazon Redshift. Implante também as configurações necessárias nos clusters do Amazon Redshift. O registro em log de auditoria deve ser habilitado para fornecer informações sobre conexões e atividades do usuário no banco de dados. Essa regra exige que um valor seja definido para clusterDbEncrypted (padrão do Config: VERDADEIRO) e loggingEnabled (padrão do Config: VERDADEIRO). Os valores reais devem refletir as políticas da organização. | |
| 8.2.1 | Uso de criptografia forte, renderização de todas as credenciais de autenticação (como senhas/frases) ilegíveis durante a transmissão e armazenamento em todos os componentes do sistema. | Para ajudar a proteger os dados em repouso, habilite a criptografia para os buckets do Amazon Simple Storage Service (Amazon S3). Como pode haver dados confidenciais em repouso nos buckets do Amazon S3, habilite a criptografia para ajudar a protegê-los. | |
| 8.2.1 | Uso de criptografia forte, renderização de todas as credenciais de autenticação (como senhas/frases) ilegíveis durante a transmissão e armazenamento em todos os componentes do sistema. | Para ajudar a proteger dados em trânsito, os buckets do Amazon Simple Storage Service (Amazon S3) devem exigir solicitações de uso do Secure Socket Layer (SSL). Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los. | |
| 8.2.1 | Uso de criptografia forte, renderização de todas as credenciais de autenticação (como senhas/frases) ilegíveis durante a transmissão e armazenamento em todos os componentes do sistema. | Habilite a criptografia para os buckets do Amazon Simple Storage Service (Amazon S3). Como pode haver dados confidenciais em repouso em um bucket do Amazon S3, habilite a criptografia em repouso para ajudar a protegê-los. | |
| 8.2.1 | Uso de criptografia forte, renderização de todas as credenciais de autenticação (como senhas/frases) ilegíveis durante a transmissão e armazenamento em todos os componentes do sistema. | Para ajudar a proteger os dados em repouso, habilite a criptografia com o AWS Key Management Service (AWS KMS) para o endpoint do SageMaker. Como pode haver dados confidenciais em repouso no endpoint do SageMaker, habilite a criptografia em repouso para ajudar a protegê-los. | |
| 8.2.1 | Uso de criptografia forte, renderização de todas as credenciais de autenticação (como senhas/frases) ilegíveis durante a transmissão e armazenamento em todos os componentes do sistema. | Para ajudar a proteger os dados em repouso, habilite a criptografia com o AWS Key Management Service (AWS KMS) para o caderno do SageMaker. Como pode haver dados confidenciais em repouso no cadernodo SageMaker, habilite a criptografia em repouso para ajudar a protegê-los. | |
| 8.2.1 | Uso de criptografia forte, renderização de todas as credenciais de autenticação (como senhas/frases) ilegíveis durante a transmissão e armazenamento em todos os componentes do sistema. | Para ajudar a proteger os dados em repouso, habilite a criptografia com o AWS Key Management Service (AWS KMS) para os segredos do AWS Secrets Manager. Como pode haver dados confidenciais em repouso nos segredos do Secrets Manager, habilite a criptografia em repouso para ajudar a protegê-los. | |
| 8.2.1 | Uso de criptografia forte, renderização de todas as credenciais de autenticação (como senhas/frases) ilegíveis durante a transmissão e armazenamento em todos os componentes do sistema. | Para ajudar a proteger os dados em repouso, use o AWS Key Management Service (AWS KMS) para garantir que os tópicos do Amazon Simple Notification Service (Amazon SNS) exijam criptografia. Como pode haver dados confidenciais em repouso em mensagens publicadas, habilite a criptografia em repouso para ajudar a protegê-los. | |
| 8.2.3 | As senhas/frases secretas devem atender ao seguinte: • Exigir um comprimento mínimo de pelo menos sete caracteres. • Conter caracteres numéricos e alfabéticos. Como alternativa, as senhas/frases secretas devem ter complexidade e força ao menos equivalentes aos parâmetros especificados acima. | As identidades e as credenciais são emitidas, gerenciadas e verificadas com base em uma política organizacional de senhas do IAM. Elas atendem ou excedem os requisitos estabelecidos pelo NIST SP 800-63 e pelo padrão Práticas Recomendadas de Segurança Básica da AWS para a força da senha. Essa regra permite que você possa definir RequireUppercaseCharacters (padrão PCI DSS: falso), RequireLowercaseCharacters (padrão PCI DSS: verdadeiro), RequireSymbols (padrão PCI DSS: falso), RequireNumbers (padrão PCI DSS: verdadeiro), MaximumPasswordLength (padrão PCI DSS: 7), PasswordReusePrevention (padrão PCI DSS: 4) e MaxPasswordAge (padrão PCI DSS: 90) para sua política de senha do IAM. Os valores reais devem refletir as políticas da organização. | |
| 8.2.4 | Altere as senhas/frases secretas dos usuários ao menos a cada 90 dias. | As credenciais são auditadas para dispositivos, usuários e processos autorizados garantindo que as chaves de acesso do IAM sejam alternadas como especificado pela política organizacional. Alterar as chaves de acesso regularmente é uma prática recomendada de segurança. Isso reduz o período em que uma chave de acesso permanece ativa e diminui o impacto nos negócios se as chaves forem comprometidas. Essa regra requer um valor de alternância da chave de acesso (padrão do Config: 90). O valor real deve refletir as políticas da organização. | |
| 8.2.4 | Altere as senhas/frases secretas dos usuários ao menos a cada 90 dias. | As identidades e as credenciais são emitidas, gerenciadas e verificadas com base em uma política organizacional de senhas do IAM. Elas atendem ou excedem os requisitos estabelecidos pelo NIST SP 800-63 e pelo padrão Práticas Recomendadas de Segurança Básica da AWS para a força da senha. Essa regra permite que você possa definir RequireUppercaseCharacters (padrão PCI DSS: falso), RequireLowercaseCharacters (padrão PCI DSS: verdadeiro), RequireSymbols (padrão PCI DSS: falso), RequireNumbers (padrão PCI DSS: verdadeiro), MaximumPasswordLength (padrão PCI DSS: 7), PasswordReusePrevention (padrão PCI DSS: 4) e MaxPasswordAge (padrão PCI DSS: 90) para sua política de senha do IAM. Os valores reais devem refletir as políticas da organização. | |
| 8.2.4 | Altere as senhas/frases secretas dos usuários ao menos a cada 90 dias. | Essa regra garante que os segredos do AWS Secrets Manager tenham a alternância habilitada. A alternância de segredos em uma programação regular pode reduzir o período em que um segredo fica ativo, além de diminuir o impacto nos negócios, se o segredo for comprometido. | |
| 8.2.5 | Não permita que um indivíduo envie uma nova senha/frase secreta que seja igual a qualquer uma das últimas quatro senhas/frases secretas que ele ou ela usou. | As identidades e as credenciais são emitidas, gerenciadas e verificadas com base em uma política organizacional de senhas do IAM. Elas atendem ou excedem os requisitos estabelecidos pelo NIST SP 800-63 e pelo padrão Práticas Recomendadas de Segurança Básica da AWS para a força da senha. Essa regra permite que você possa definir RequireUppercaseCharacters (padrão PCI DSS: falso), RequireLowercaseCharacters (padrão PCI DSS: verdadeiro), RequireSymbols (padrão PCI DSS: falso), RequireNumbers (padrão PCI DSS: verdadeiro), MaximumPasswordLength (padrão PCI DSS: 7), PasswordReusePrevention (padrão PCI DSS: 4) e MaxPasswordAge (padrão PCI DSS: 90) para sua política de senha do IAM. Os valores reais devem refletir as políticas da organização. | |
| 8.3.1 | Incorpore a autenticação multifator para todos os acessos que não são do console no CDE para pessoal com acesso administrativo. | Habilite essa regra para restringir o acesso a recursos na Nuvem AWS. Essa regra garante que a autenticação multifator (MFA) esteja habilitada para todos os usuários. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Reduza os incidentes de contas comprometidas exigindo que os usuários utilizem a MFA. | |
| 8.3.1 | Incorpore a autenticação multifator para todos os acessos que não são do console no CDE para pessoal com acesso administrativo. | Para gerenciar o acesso Access a recursos na Nuvem AWS, habilite a MFA para todos os usuários do AWS Identity and Access Management (IAM) que têm uma senha de console. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Ao exigir que os usuários utilizem a MFA, você reduz os incidentes de contas comprometidas e impede que dados confidenciais sejam acessados por usuários não autorizados. | |
| 8.3.1 | Incorpore a autenticação multifator para todos os acessos que não são do console no CDE para pessoal com acesso administrativo. | Para gerenciar o acesso a recursos na Nuvem AWS, garanta que a MFA de hardware esteja habilitada para o usuário raiz. O usuário raiz é o mais privilegiado em uma Conta da AWS. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Ao exigir MFA para o usuário raiz, é possível reduzir os incidentes de Contas da AWS comprometidas. | |
| 8.3.1 | Incorpore a autenticação multifator para todos os acessos que não são do console no CDE para pessoal com acesso administrativo. | Para gerenciar o acesso a recursos na Nuvem AWS, habilite a MFA para o usuário raiz. O usuário raiz é o mais privilegiado em uma Conta da AWS. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Ao exigir MFA para o usuário raiz, é possível reduzir os incidentes de Contas da AWS comprometidas. | |
| 8.3.2 | Incorpore a autenticação multifatorial para todos os acessos remotos à rede (tanto de usuário quanto de administrador, incluindo acesso de terceiros para suporte ou manutenção) originados de fora da rede da entidade. | Habilite essa regra para restringir o acesso a recursos na Nuvem AWS. Essa regra garante que a autenticação multifator (MFA) esteja habilitada para todos os usuários. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Reduza os incidentes de contas comprometidas exigindo que os usuários utilizem a MFA. | |
| 8.3.2 | Incorpore a autenticação multifatorial para todos os acessos remotos à rede (tanto de usuário quanto de administrador, incluindo acesso de terceiros para suporte ou manutenção) originados de fora da rede da entidade. | Para gerenciar o acesso Access a recursos na Nuvem AWS, habilite a MFA para todos os usuários do AWS Identity and Access Management (IAM) que têm uma senha de console. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Ao exigir que os usuários utilizem a MFA, você reduz os incidentes de contas comprometidas e impede que dados confidenciais sejam acessados por usuários não autorizados. | |
| 8.3.2 | Incorpore a autenticação multifatorial para todos os acessos remotos à rede (tanto de usuário quanto de administrador, incluindo acesso de terceiros para suporte ou manutenção) originados de fora da rede da entidade. | Para gerenciar o acesso a recursos na Nuvem AWS, garanta que a MFA de hardware esteja habilitada para o usuário raiz. O usuário raiz é o mais privilegiado em uma Conta da AWS. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Ao exigir MFA para o usuário raiz, é possível reduzir os incidentes de Contas da AWS comprometidas. | |
| 8.3.2 | Incorpore a autenticação multifatorial para todos os acessos remotos à rede (tanto de usuário quanto de administrador, incluindo acesso de terceiros para suporte ou manutenção) originados de fora da rede da entidade. | Para gerenciar o acesso a recursos na Nuvem AWS, habilite a MFA para o usuário raiz. O usuário raiz é o mais privilegiado em uma Conta da AWS. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Ao exigir MFA para o usuário raiz, é possível reduzir os incidentes de Contas da AWS comprometidas. | |
| 10.1 | Implemente trilhas de auditoria para vincular todo o acesso aos componentes do sistema a cada usuário individual. | O registro em log do API Gateway exibe visualizações detalhadas dos usuários que acessaram a API e a forma como eles a acessaram. Esse insight mostra as atividades do usuário. | |
| 10.1 | Implemente trilhas de auditoria para vincular todo o acesso aos componentes do sistema a cada usuário individual. | A atividade do Elastic Load Balancing é um ponto central de comunicação em um ambiente. Habilite o registro em log do ELB. Os dados coletados fornecem informações detalhadas sobre as solicitações enviadas ao ELB. Cada log contém informações como a hora em que a solicitação foi recebida, o endereço IP do cliente, latências, caminhos de solicitação e respostas do servidor. | |
| 10.1 | Implemente trilhas de auditoria para vincular todo o acesso aos componentes do sistema a cada usuário individual. | O AWS CloudTrail registra as ações e as chamadas de API do Console de Gerenciamento da AWS. Você pode identificar quais usuários e contas chamaram a AWS, o endereço IP de origem do qual as chamadas foram feitas e quando elas ocorreram. O CloudTrail fornecerá os arquivos de log de todas as regiões da AWS para o bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, quando a AWS atender a uma nova região, o CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação. | |
| 10.1 | Implemente trilhas de auditoria para vincular todo o acesso aos componentes do sistema a cada usuário individual. | O registro em log de acesso ao servidor do Amazon Simple Storage Service (Amazon S3) fornece um método para monitorar a rede em busca de possíveis eventos de segurança cibernética. Os eventos são monitorados pela captura de registros detalhados das solicitações que são feitas a um bucket do Amazon S3. Cada registro de log de acesso fornece detalhes sobre uma única solicitação de acesso. Os detalhes incluem solicitante, nome do bucket, horário da solicitação, ação da solicitação, status da resposta e um código de erro, se relevante. | |
| 10.1 | Implemente trilhas de auditoria para vincular todo o acesso aos componentes do sistema a cada usuário individual. | Os logs de fluxo da VPC fornecem registros detalhados de informações sobre o tráfego de IP de entrada e saída das interfaces de rede no Amazon Virtual Private Cloud (Amazon VPC). Por padrão, o registro de log de fluxo inclui valores para os diferentes componentes do fluxo de IP, incluindo a origem, o destino e o protocolo. | |
| 10.1 | Implemente trilhas de auditoria para vincular todo o acesso aos componentes do sistema a cada usuário individual. | Para ajudar com o registro em log e o monitoramento em seu ambiente, habilite o registro em log do AWS WAF (V2) em ACLs da web regionais e globais. O registro em log do AWS WAF fornece informações detalhadas sobre o tráfego que é analisado pela ACL da web. Os logs registram a hora em que o AWS WAF recebeu a solicitação do recurso da AWS, informações sobre a solicitação e uma ação para a regra à qual cada solicitação correspondeu. | |
| 10.1 | Implemente trilhas de auditoria para vincular todo o acesso aos componentes do sistema a cada usuário individual. | O AWS CloudTrail pode ajudar no não repúdio ao registrar ações e chamadas de API do Console de Gerenciamento da AWS. Você pode identificar os usuários e as Contas da AWS que chamaram um serviço da AWS, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são encontrados no conteúdo do registro do AWS CloudTrail. | |
| 10.1 | Implemente trilhas de auditoria para vincular todo o acesso aos componentes do sistema a cada usuário individual. | A coleta de eventos de dados do Simple Storage Service (Amazon S3) ajuda a detectar qualquer atividade anômala. Os detalhes incluem informações da Conta da AWS que acessou um bucket, endereço IP e horário do evento do Amazon S3. | |
| 10.1 | Implemente trilhas de auditoria para vincular todo o acesso aos componentes do sistema a cada usuário individual. | O registro em log do projeto do AWS CodeBuild deve ser habilitado para que os logs de saída de compilação sejam enviados ao Amazon CloudWatch ou ao Amazon Simple Storage Service (Amazon S3). Os logs de saída de compilação fornecem informações detalhadas sobre o projeto de compilação. | |
| 10.1 | Implemente trilhas de auditoria para vincular todo o acesso aos componentes do sistema a cada usuário individual. | Habilite os logs de erros dos domínios do Amazon OpenSearch Service e transmita-os ao Amazon CloudWatch Logs para retenção e resposta. Os logs de erros do domínio podem auxiliar nas auditorias de segurança e acesso, além de ajudar a diagnosticar problemas de disponibilidade. | |
| 10.1 | Implemente trilhas de auditoria para vincular todo o acesso aos componentes do sistema a cada usuário individual. | Habilite o registro em log de auditoria nos domínios do Amazon OpenSearch Service. O registro em log de auditoria permite rastrear a atividade do usuário em seus domínios do OpenSearch, incluindo falhas e êxitos na autenticação, solicitações para OpenSearch, alterações em índices e consultas de pesquisa recebidas. | |
| 10.1 | Implemente trilhas de auditoria para vincular todo o acesso aos componentes do sistema a cada usuário individual. | Habilite os logs de erros dos domínios do Amazon OpenSearch Service e transmita-os ao Amazon CloudWatch Logs para retenção e resposta. Os logs de erros do OpenSearch Service podem auxiliar nas auditorias de segurança e acesso, além de ajudar a diagnosticar problemas de disponibilidade. | |
| 10.1 | Implemente trilhas de auditoria para vincular todo o acesso aos componentes do sistema a cada usuário individual. | Para ajudar no registro em log e no monitoramento em seu ambiente, habilite o registro em log do Amazon Relational Database Service (Amazon RDS). Com o registro em log do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas. | |
| 10.1 | Implemente trilhas de auditoria para vincular todo o acesso aos componentes do sistema a cada usuário individual. | Para proteger os dados em repouso, habilite a criptografia para os clusters do Amazon Redshift. Implante também as configurações necessárias nos clusters do Amazon Redshift. O registro em log de auditoria deve ser habilitado para fornecer informações sobre conexões e atividades do usuário no banco de dados. Essa regra exige que um valor seja definido para clusterDbEncrypted (padrão do Config: VERDADEIRO) e loggingEnabled (padrão do Config: VERDADEIRO). Os valores reais devem refletir as políticas da organização. | |
| 10.2.1 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema a fim de reconstituir os seguintes eventos: todos os acessos de usuários individuais aos dados do titular do cartão | O registro em log do API Gateway exibe visualizações detalhadas dos usuários que acessaram a API e a forma como eles a acessaram. Esse insight mostra as atividades do usuário. | |
| 10.2.1 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema a fim de reconstituir os seguintes eventos: todos os acessos de usuários individuais aos dados do titular do cartão | O AWS CloudTrail registra as ações e as chamadas de API do Console de Gerenciamento da AWS. Você pode identificar quais usuários e contas chamaram a AWS, o endereço IP de origem do qual as chamadas foram feitas e quando elas ocorreram. O CloudTrail fornecerá os arquivos de log de todas as regiões da AWS para o bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, quando a AWS atender a uma nova região, o CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação. | |
| 10.2.1 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema a fim de reconstituir os seguintes eventos: todos os acessos de usuários individuais aos dados do titular do cartão | O registro em log de acesso ao servidor do Amazon Simple Storage Service (Amazon S3) fornece um método para monitorar a rede em busca de possíveis eventos de segurança cibernética. Os eventos são monitorados pela captura de registros detalhados das solicitações que são feitas a um bucket do Amazon S3. Cada registro de log de acesso fornece detalhes sobre uma única solicitação de acesso. Os detalhes incluem solicitante, nome do bucket, horário da solicitação, ação da solicitação, status da resposta e um código de erro, se relevante. | |
| 10.2.1 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema a fim de reconstituir os seguintes eventos: todos os acessos de usuários individuais aos dados do titular do cartão | O AWS CloudTrail pode ajudar no não repúdio ao registrar ações e chamadas de API do Console de Gerenciamento da AWS. Você pode identificar os usuários e as Contas da AWS que chamaram um serviço da AWS, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são encontrados no conteúdo do registro do AWS CloudTrail. | |
| 10.2.1 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema a fim de reconstituir os seguintes eventos: todos os acessos de usuários individuais aos dados do titular do cartão | A coleta de eventos de dados do Simple Storage Service (Amazon S3) ajuda a detectar qualquer atividade anômala. Os detalhes incluem informações da Conta da AWS que acessou um bucket, endereço IP e horário do evento do Amazon S3. | |
| 10.2.1 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema a fim de reconstituir os seguintes eventos: todos os acessos de usuários individuais aos dados do titular do cartão | O registro em log do projeto do AWS CodeBuild deve ser habilitado para que os logs de saída de compilação sejam enviados ao Amazon CloudWatch ou ao Amazon Simple Storage Service (Amazon S3). Os logs de saída de compilação fornecem informações detalhadas sobre o projeto de compilação. | |
| 10.2.1 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema a fim de reconstituir os seguintes eventos: todos os acessos de usuários individuais aos dados do titular do cartão | Habilite os logs de erros dos domínios do Amazon OpenSearch Service e transmita-os ao Amazon CloudWatch Logs para retenção e resposta. Os logs de erros do domínio podem auxiliar nas auditorias de segurança e acesso, além de ajudar a diagnosticar problemas de disponibilidade. | |
| 10.2.1 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema a fim de reconstituir os seguintes eventos: todos os acessos de usuários individuais aos dados do titular do cartão | Habilite o registro em log de auditoria nos domínios do Amazon OpenSearch Service. O registro em log de auditoria permite rastrear a atividade do usuário em seus domínios do OpenSearch, incluindo falhas e êxitos na autenticação, solicitações para OpenSearch, alterações em índices e consultas de pesquisa recebidas. | |
| 10.2.1 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema a fim de reconstituir os seguintes eventos: todos os acessos de usuários individuais aos dados do titular do cartão | Habilite os logs de erros dos domínios do Amazon OpenSearch Service e transmita-os ao Amazon CloudWatch Logs para retenção e resposta. Os logs de erros do OpenSearch Service podem auxiliar nas auditorias de segurança e acesso, além de ajudar a diagnosticar problemas de disponibilidade. | |
| 10.2.1 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema a fim de reconstituir os seguintes eventos: todos os acessos de usuários individuais aos dados do titular do cartão | Para ajudar no registro em log e no monitoramento em seu ambiente, habilite o registro em log do Amazon Relational Database Service (Amazon RDS). Com o registro em log do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas. | |
| 10.2.1 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema a fim de reconstituir os seguintes eventos: todos os acessos de usuários individuais aos dados do titular do cartão | Para proteger os dados em repouso, habilite a criptografia para os clusters do Amazon Redshift. Implante também as configurações necessárias nos clusters do Amazon Redshift. O registro em log de auditoria deve ser habilitado para fornecer informações sobre conexões e atividades do usuário no banco de dados. Essa regra exige que um valor seja definido para clusterDbEncrypted (padrão do Config: VERDADEIRO) e loggingEnabled (padrão do Config: VERDADEIRO). Os valores reais devem refletir as políticas da organização. | |
| 10.2.2 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema a fim de reconstruir os seguintes eventos: todas as ações realizadas por qualquer pessoa com privilégios raiz ou administrativos | O AWS CloudTrail registra as ações e as chamadas de API do Console de Gerenciamento da AWS. Você pode identificar quais usuários e contas chamaram a AWS, o endereço IP de origem do qual as chamadas foram feitas e quando elas ocorreram. O CloudTrail fornecerá os arquivos de log de todas as regiões da AWS para o bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, quando a AWS atender a uma nova região, o CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação. | |
| 10.2.2 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema a fim de reconstruir os seguintes eventos: todas as ações realizadas por qualquer pessoa com privilégios raiz ou administrativos | O AWS CloudTrail pode ajudar no não repúdio ao registrar ações e chamadas de API do Console de Gerenciamento da AWS. Você pode identificar os usuários e as Contas da AWS que chamaram um serviço da AWS, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são encontrados no conteúdo do registro do AWS CloudTrail. | |
| 10.2.2 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema a fim de reconstruir os seguintes eventos: todas as ações realizadas por qualquer pessoa com privilégios raiz ou administrativos | O registro em log do projeto do AWS CodeBuild deve ser habilitado para que os logs de saída de compilação sejam enviados ao Amazon CloudWatch ou ao Amazon Simple Storage Service (Amazon S3). Os logs de saída de compilação fornecem informações detalhadas sobre o projeto de compilação. | |
| 10.2.2 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema a fim de reconstruir os seguintes eventos: todas as ações realizadas por qualquer pessoa com privilégios raiz ou administrativos | Habilite os logs de erros dos domínios do Amazon OpenSearch Service e transmita-os ao Amazon CloudWatch Logs para retenção e resposta. Os logs de erros do domínio podem auxiliar nas auditorias de segurança e acesso, além de ajudar a diagnosticar problemas de disponibilidade. | |
| 10.2.2 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema a fim de reconstruir os seguintes eventos: todas as ações realizadas por qualquer pessoa com privilégios raiz ou administrativos | Habilite o registro em log de auditoria nos domínios do Amazon OpenSearch Service. O registro em log de auditoria permite rastrear a atividade do usuário em seus domínios do OpenSearch, incluindo falhas e êxitos na autenticação, solicitações para OpenSearch, alterações em índices e consultas de pesquisa recebidas. | |
| 10.2.2 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema a fim de reconstruir os seguintes eventos: todas as ações realizadas por qualquer pessoa com privilégios raiz ou administrativos | Habilite os logs de erros dos domínios do Amazon OpenSearch Service e transmita-os ao Amazon CloudWatch Logs para retenção e resposta. Os logs de erros do OpenSearch Service podem auxiliar nas auditorias de segurança e acesso, além de ajudar a diagnosticar problemas de disponibilidade. | |
| 10.2.2 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema a fim de reconstruir os seguintes eventos: todas as ações realizadas por qualquer pessoa com privilégios raiz ou administrativos | Para ajudar no registro em log e no monitoramento em seu ambiente, habilite o registro em log do Amazon Relational Database Service (Amazon RDS). Com o registro em log do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas. | |
| 10.2.2 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema a fim de reconstruir os seguintes eventos: todas as ações realizadas por qualquer pessoa com privilégios raiz ou administrativos | Para proteger os dados em repouso, habilite a criptografia para os clusters do Amazon Redshift. Implante também as configurações necessárias nos clusters do Amazon Redshift. O registro em log de auditoria deve ser habilitado para fornecer informações sobre conexões e atividades do usuário no banco de dados. Essa regra exige que um valor seja definido para clusterDbEncrypted (padrão do Config: VERDADEIRO) e loggingEnabled (padrão do Config: VERDADEIRO). Os valores reais devem refletir as políticas da organização. | |
| 10.2.3 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema a fim de reconstruir os seguintes eventos: acesso a todas as trilhas de auditoria | O AWS CloudTrail registra as ações e as chamadas de API do Console de Gerenciamento da AWS. Você pode identificar quais usuários e contas chamaram a AWS, o endereço IP de origem do qual as chamadas foram feitas e quando elas ocorreram. O CloudTrail fornecerá os arquivos de log de todas as regiões da AWS para o bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, quando a AWS atender a uma nova região, o CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação. | |
| 10.2.3 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema a fim de reconstruir os seguintes eventos: acesso a todas as trilhas de auditoria | O AWS CloudTrail pode ajudar no não repúdio ao registrar ações e chamadas de API do Console de Gerenciamento da AWS. Você pode identificar os usuários e as Contas da AWS que chamaram um serviço da AWS, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são encontrados no conteúdo do registro do AWS CloudTrail. | |
| 10.2.3 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema a fim de reconstruir os seguintes eventos: acesso a todas as trilhas de auditoria | A coleta de eventos de dados do Simple Storage Service (Amazon S3) ajuda a detectar qualquer atividade anômala. Os detalhes incluem informações da Conta da AWS que acessou um bucket, endereço IP e horário do evento do Amazon S3. | |
| 10.2.3 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema a fim de reconstruir os seguintes eventos: acesso a todas as trilhas de auditoria | O registro em log do projeto do AWS CodeBuild deve ser habilitado para que os logs de saída de compilação sejam enviados ao Amazon CloudWatch ou ao Amazon Simple Storage Service (Amazon S3). Os logs de saída de compilação fornecem informações detalhadas sobre o projeto de compilação. | |
| 10.2.3 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema a fim de reconstruir os seguintes eventos: acesso a todas as trilhas de auditoria | Habilite os logs de erros dos domínios do Amazon OpenSearch Service e transmita-os ao Amazon CloudWatch Logs para retenção e resposta. Os logs de erros do domínio podem auxiliar nas auditorias de segurança e acesso, além de ajudar a diagnosticar problemas de disponibilidade. | |
| 10.2.3 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema a fim de reconstruir os seguintes eventos: acesso a todas as trilhas de auditoria | Habilite o registro em log de auditoria nos domínios do Amazon OpenSearch Service. O registro em log de auditoria permite rastrear a atividade do usuário em seus domínios do OpenSearch, incluindo falhas e êxitos na autenticação, solicitações para OpenSearch, alterações em índices e consultas de pesquisa recebidas. | |
| 10.2.3 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema a fim de reconstruir os seguintes eventos: acesso a todas as trilhas de auditoria | Habilite os logs de erros dos domínios do Amazon OpenSearch Service e transmita-os ao Amazon CloudWatch Logs para retenção e resposta. Os logs de erros do OpenSearch Service podem auxiliar nas auditorias de segurança e acesso, além de ajudar a diagnosticar problemas de disponibilidade. | |
| 10.2.3 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema a fim de reconstruir os seguintes eventos: acesso a todas as trilhas de auditoria | Para ajudar no registro em log e no monitoramento em seu ambiente, habilite o registro em log do Amazon Relational Database Service (Amazon RDS). Com o registro em log do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas. | |
| 10.2.3 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema a fim de reconstruir os seguintes eventos: acesso a todas as trilhas de auditoria | Para proteger os dados em repouso, habilite a criptografia para os clusters do Amazon Redshift. Implante também as configurações necessárias nos clusters do Amazon Redshift. O registro em log de auditoria deve ser habilitado para fornecer informações sobre conexões e atividades do usuário no banco de dados. Essa regra exige que um valor seja definido para clusterDbEncrypted (padrão do Config: VERDADEIRO) e loggingEnabled (padrão do Config: VERDADEIRO). Os valores reais devem refletir as políticas da organização. | |
| 10.2.3 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema a fim de reconstruir os seguintes eventos: acesso a todas as trilhas de auditoria | O registro em log de acesso ao servidor do Amazon Simple Storage Service (Amazon S3) fornece um método para monitorar a rede em busca de possíveis eventos de segurança cibernética. Os eventos são monitorados pela captura de registros detalhados das solicitações que são feitas a um bucket do Amazon S3. Cada registro de log de acesso fornece detalhes sobre uma única solicitação de acesso. Os detalhes incluem solicitante, nome do bucket, horário da solicitação, ação da solicitação, status da resposta e um código de erro, se relevante. | |
| 10.2.4 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema a fim de reconstruir os seguintes eventos: tentativas de acesso lógico inválidas | O registro em log do API Gateway exibe visualizações detalhadas dos usuários que acessaram a API e a forma como eles a acessaram. Esse insight mostra as atividades do usuário. | |
| 10.2.4 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema a fim de reconstruir os seguintes eventos: tentativas de acesso lógico inválidas | O AWS CloudTrail registra as ações e as chamadas de API do Console de Gerenciamento da AWS. Você pode identificar quais usuários e contas chamaram a AWS, o endereço IP de origem do qual as chamadas foram feitas e quando elas ocorreram. O CloudTrail fornecerá os arquivos de log de todas as regiões da AWS para o bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, quando a AWS atender a uma nova região, o CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação. | |
| 10.2.4 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema a fim de reconstruir os seguintes eventos: tentativas de acesso lógico inválidas | O registro em log de acesso ao servidor do Amazon Simple Storage Service (Amazon S3) fornece um método para monitorar a rede em busca de possíveis eventos de segurança cibernética. Os eventos são monitorados pela captura de registros detalhados das solicitações que são feitas a um bucket do Amazon S3. Cada registro de log de acesso fornece detalhes sobre uma única solicitação de acesso. Os detalhes incluem solicitante, nome do bucket, horário da solicitação, ação da solicitação, status da resposta e um código de erro, se relevante. | |
| 10.2.4 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema a fim de reconstruir os seguintes eventos: tentativas de acesso lógico inválidas | O AWS CloudTrail pode ajudar no não repúdio ao registrar ações e chamadas de API do Console de Gerenciamento da AWS. Você pode identificar os usuários e as Contas da AWS que chamaram um serviço da AWS, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são encontrados no conteúdo do registro do AWS CloudTrail. | |
| 10.2.4 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema a fim de reconstruir os seguintes eventos: tentativas de acesso lógico inválidas | A coleta de eventos de dados do Simple Storage Service (Amazon S3) ajuda a detectar qualquer atividade anômala. Os detalhes incluem informações da Conta da AWS que acessou um bucket, endereço IP e horário do evento do Amazon S3. | |
| 10.2.4 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema a fim de reconstruir os seguintes eventos: tentativas de acesso lógico inválidas | O registro em log do projeto do AWS CodeBuild deve ser habilitado para que os logs de saída de compilação sejam enviados ao Amazon CloudWatch ou ao Amazon Simple Storage Service (Amazon S3). Os logs de saída de compilação fornecem informações detalhadas sobre o projeto de compilação. | |
| 10.2.4 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema a fim de reconstruir os seguintes eventos: tentativas de acesso lógico inválidas | Habilite os logs de erros dos domínios do Amazon OpenSearch Service e transmita-os ao Amazon CloudWatch Logs para retenção e resposta. Os logs de erros do domínio podem auxiliar nas auditorias de segurança e acesso, além de ajudar a diagnosticar problemas de disponibilidade. | |
| 10.2.4 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema a fim de reconstruir os seguintes eventos: tentativas de acesso lógico inválidas | Habilite o registro em log de auditoria nos domínios do Amazon OpenSearch Service. O registro em log de auditoria permite rastrear a atividade do usuário em seus domínios do OpenSearch, incluindo falhas e êxitos na autenticação, solicitações para OpenSearch, alterações em índices e consultas de pesquisa recebidas. | |
| 10.2.4 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema a fim de reconstruir os seguintes eventos: tentativas de acesso lógico inválidas | Habilite os logs de erros dos domínios do Amazon OpenSearch Service e transmita-os ao Amazon CloudWatch Logs para retenção e resposta. Os logs de erros do OpenSearch Service podem auxiliar nas auditorias de segurança e acesso, além de ajudar a diagnosticar problemas de disponibilidade. | |
| 10.2.4 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema a fim de reconstruir os seguintes eventos: tentativas de acesso lógico inválidas | Para ajudar no registro em log e no monitoramento em seu ambiente, habilite o registro em log do Amazon Relational Database Service (Amazon RDS). Com o registro em log do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas. | |
| 10.2.4 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema a fim de reconstruir os seguintes eventos: tentativas de acesso lógico inválidas | Para proteger os dados em repouso, habilite a criptografia para os clusters do Amazon Redshift. Implante também as configurações necessárias nos clusters do Amazon Redshift. O registro em log de auditoria deve ser habilitado para fornecer informações sobre conexões e atividades do usuário no banco de dados. Essa regra exige que um valor seja definido para clusterDbEncrypted (padrão do Config: VERDADEIRO) e loggingEnabled (padrão do Config: VERDADEIRO). Os valores reais devem refletir as políticas da organização. | |
| 10.2.5 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema a fim de reconstruir os seguintes eventos: uso de e alterações nos mecanismos de identificação e autenticação — incluindo, dentre outros, a criação de novas contas e a elevação de privilégios — e todas as alterações, adições ou exclusões em contas com privilégios raiz ou administrativos | O AWS CloudTrail registra as ações e as chamadas de API do Console de Gerenciamento da AWS. Você pode identificar quais usuários e contas chamaram a AWS, o endereço IP de origem do qual as chamadas foram feitas e quando elas ocorreram. O CloudTrail fornecerá os arquivos de log de todas as regiões da AWS para o bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, quando a AWS atender a uma nova região, o CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação. | |
| 10.2.5 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema a fim de reconstruir os seguintes eventos: uso de e alterações nos mecanismos de identificação e autenticação — incluindo, dentre outros, a criação de novas contas e a elevação de privilégios — e todas as alterações, adições ou exclusões em contas com privilégios raiz ou administrativos | O AWS CloudTrail pode ajudar no não repúdio ao registrar ações e chamadas de API do Console de Gerenciamento da AWS. Você pode identificar os usuários e as Contas da AWS que chamaram um serviço da AWS, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são encontrados no conteúdo do registro do AWS CloudTrail. | |
| 10.2.5 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema a fim de reconstruir os seguintes eventos: uso de e alterações nos mecanismos de identificação e autenticação — incluindo, dentre outros, a criação de novas contas e a elevação de privilégios — e todas as alterações, adições ou exclusões em contas com privilégios raiz ou administrativos | O registro em log do projeto do AWS CodeBuild deve ser habilitado para que os logs de saída de compilação sejam enviados ao Amazon CloudWatch ou ao Amazon Simple Storage Service (Amazon S3). Os logs de saída de compilação fornecem informações detalhadas sobre o projeto de compilação. | |
| 10.2.5 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema a fim de reconstruir os seguintes eventos: uso de e alterações nos mecanismos de identificação e autenticação — incluindo, dentre outros, a criação de novas contas e a elevação de privilégios — e todas as alterações, adições ou exclusões em contas com privilégios raiz ou administrativos | Habilite os logs de erros dos domínios do Amazon OpenSearch Service e transmita-os ao Amazon CloudWatch Logs para retenção e resposta. Os logs de erros do domínio podem auxiliar nas auditorias de segurança e acesso, além de ajudar a diagnosticar problemas de disponibilidade. | |
| 10.2.5 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema a fim de reconstruir os seguintes eventos: uso de e alterações nos mecanismos de identificação e autenticação — incluindo, dentre outros, a criação de novas contas e a elevação de privilégios — e todas as alterações, adições ou exclusões em contas com privilégios raiz ou administrativos | Habilite o registro em log de auditoria nos domínios do Amazon OpenSearch Service. O registro em log de auditoria permite rastrear a atividade do usuário em seus domínios do OpenSearch, incluindo falhas e êxitos na autenticação, solicitações para OpenSearch, alterações em índices e consultas de pesquisa recebidas. | |
| 10.2.5 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema a fim de reconstruir os seguintes eventos: uso de e alterações nos mecanismos de identificação e autenticação — incluindo, dentre outros, a criação de novas contas e a elevação de privilégios — e todas as alterações, adições ou exclusões em contas com privilégios raiz ou administrativos | Habilite os logs de erros dos domínios do Amazon OpenSearch Service e transmita-os ao Amazon CloudWatch Logs para retenção e resposta. Os logs de erros do OpenSearch Service podem auxiliar nas auditorias de segurança e acesso, além de ajudar a diagnosticar problemas de disponibilidade. | |
| 10.2.5 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema a fim de reconstruir os seguintes eventos: uso de e alterações nos mecanismos de identificação e autenticação — incluindo, dentre outros, a criação de novas contas e a elevação de privilégios — e todas as alterações, adições ou exclusões em contas com privilégios raiz ou administrativos | Para ajudar no registro em log e no monitoramento em seu ambiente, habilite o registro em log do Amazon Relational Database Service (Amazon RDS). Com o registro em log do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas. | |
| 10.2.5 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema a fim de reconstruir os seguintes eventos: uso de e alterações nos mecanismos de identificação e autenticação — incluindo, dentre outros, a criação de novas contas e a elevação de privilégios — e todas as alterações, adições ou exclusões em contas com privilégios raiz ou administrativos | Para proteger os dados em repouso, habilite a criptografia para os clusters do Amazon Redshift. Implante também as configurações necessárias nos clusters do Amazon Redshift. O registro em log de auditoria deve ser habilitado para fornecer informações sobre conexões e atividades do usuário no banco de dados. Essa regra exige que um valor seja definido para clusterDbEncrypted (padrão do Config: VERDADEIRO) e loggingEnabled (padrão do Config: VERDADEIRO). Os valores reais devem refletir as políticas da organização. | |
| 10.2.6 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema a fim de reconstruir os seguintes eventos: inicialização, interrupção ou pausa dos logs de auditoria | O AWS CloudTrail registra as ações e as chamadas de API do Console de Gerenciamento da AWS. Você pode identificar quais usuários e contas chamaram a AWS, o endereço IP de origem do qual as chamadas foram feitas e quando elas ocorreram. O CloudTrail fornecerá os arquivos de log de todas as regiões da AWS para o bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, quando a AWS atender a uma nova região, o CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação. | |
| 10.2.6 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema a fim de reconstruir os seguintes eventos: inicialização, interrupção ou pausa dos logs de auditoria | O AWS CloudTrail pode ajudar no não repúdio ao registrar ações e chamadas de API do Console de Gerenciamento da AWS. Você pode identificar os usuários e as Contas da AWS que chamaram um serviço da AWS, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são encontrados no conteúdo do registro do AWS CloudTrail. | |
| 10.2.6 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema a fim de reconstruir os seguintes eventos: inicialização, interrupção ou pausa dos logs de auditoria | Para ajudar no registro em log e no monitoramento em seu ambiente, habilite o registro em log do Amazon Relational Database Service (Amazon RDS). Com o registro em log do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas. | |
| 10.2.7 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema a fim de reconstruir os seguintes eventos: criação e exclusão de objetos no nível do sistema | O registro em log do API Gateway exibe visualizações detalhadas dos usuários que acessaram a API e a forma como eles a acessaram. Esse insight mostra as atividades do usuário. | |
| 10.2.7 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema a fim de reconstruir os seguintes eventos: criação e exclusão de objetos no nível do sistema | O AWS CloudTrail registra as ações e as chamadas de API do Console de Gerenciamento da AWS. Você pode identificar quais usuários e contas chamaram a AWS, o endereço IP de origem do qual as chamadas foram feitas e quando elas ocorreram. O CloudTrail fornecerá os arquivos de log de todas as regiões da AWS para o bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, quando a AWS atender a uma nova região, o CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação. | |
| 10.2.7 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema a fim de reconstruir os seguintes eventos: criação e exclusão de objetos no nível do sistema | O AWS CloudTrail pode ajudar no não repúdio ao registrar ações e chamadas de API do Console de Gerenciamento da AWS. Você pode identificar os usuários e as Contas da AWS que chamaram um serviço da AWS, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são encontrados no conteúdo do registro do AWS CloudTrail. | |
| 10.2.7 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema a fim de reconstruir os seguintes eventos: criação e exclusão de objetos no nível do sistema | Habilite os logs de erros dos domínios do Amazon OpenSearch Service e transmita-os ao Amazon CloudWatch Logs para retenção e resposta. Os logs de erros do domínio podem auxiliar nas auditorias de segurança e acesso, além de ajudar a diagnosticar problemas de disponibilidade. | |
| 10.2.7 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema a fim de reconstruir os seguintes eventos: criação e exclusão de objetos no nível do sistema | Habilite o registro em log de auditoria nos domínios do Amazon OpenSearch Service. O registro em log de auditoria permite rastrear a atividade do usuário em seus domínios do OpenSearch, incluindo falhas e êxitos na autenticação, solicitações para OpenSearch, alterações em índices e consultas de pesquisa recebidas. | |
| 10.2.7 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema a fim de reconstruir os seguintes eventos: criação e exclusão de objetos no nível do sistema | Habilite os logs de erros dos domínios do Amazon OpenSearch Service e transmita-os ao Amazon CloudWatch Logs para retenção e resposta. Os logs de erros do OpenSearch Service podem auxiliar nas auditorias de segurança e acesso, além de ajudar a diagnosticar problemas de disponibilidade. | |
| 10.2.7 | Implemente trilhas de auditoria automatizadas para todos os componentes do sistema a fim de reconstruir os seguintes eventos: criação e exclusão de objetos no nível do sistema | Para ajudar no registro em log e no monitoramento em seu ambiente, habilite o registro em log do Amazon Relational Database Service (Amazon RDS). Com o registro em log do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas. | |
| 10.3.1 | Registre pelo menos as seguintes entradas da trilha de auditoria para todos os componentes do sistema de cada evento: identificação do usuário | O registro em log do API Gateway exibe visualizações detalhadas dos usuários que acessaram a API e a forma como eles a acessaram. Esse insight mostra as atividades do usuário. | |
| 10.3.1 | Registre pelo menos as seguintes entradas da trilha de auditoria para todos os componentes do sistema de cada evento: identificação do usuário | A atividade do Elastic Load Balancing é um ponto central de comunicação em um ambiente. Habilite o registro em log do ELB. Os dados coletados fornecem informações detalhadas sobre as solicitações enviadas ao ELB. Cada log contém informações como a hora em que a solicitação foi recebida, o endereço IP do cliente, latências, caminhos de solicitação e respostas do servidor. | |
| 10.3.1 | Registre pelo menos as seguintes entradas da trilha de auditoria para todos os componentes do sistema de cada evento: identificação do usuário | O AWS CloudTrail registra as ações e as chamadas de API do Console de Gerenciamento da AWS. Você pode identificar quais usuários e contas chamaram a AWS, o endereço IP de origem do qual as chamadas foram feitas e quando elas ocorreram. O CloudTrail fornecerá os arquivos de log de todas as regiões da AWS para o bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, quando a AWS atender a uma nova região, o CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação. | |
| 10.3.1 | Registre pelo menos as seguintes entradas da trilha de auditoria para todos os componentes do sistema de cada evento: identificação do usuário | O registro em log de acesso ao servidor do Amazon Simple Storage Service (Amazon S3) fornece um método para monitorar a rede em busca de possíveis eventos de segurança cibernética. Os eventos são monitorados pela captura de registros detalhados das solicitações que são feitas a um bucket do Amazon S3. Cada registro de log de acesso fornece detalhes sobre uma única solicitação de acesso. Os detalhes incluem solicitante, nome do bucket, horário da solicitação, ação da solicitação, status da resposta e um código de erro, se relevante. | |
| 10.3.1 | Registre pelo menos as seguintes entradas da trilha de auditoria para todos os componentes do sistema de cada evento: identificação do usuário | Os logs de fluxo da VPC fornecem registros detalhados de informações sobre o tráfego de IP de entrada e saída das interfaces de rede no Amazon Virtual Private Cloud (Amazon VPC). Por padrão, o registro de log de fluxo inclui valores para os diferentes componentes do fluxo de IP, incluindo a origem, o destino e o protocolo. | |
| 10.3.1 | Registre pelo menos as seguintes entradas da trilha de auditoria para todos os componentes do sistema de cada evento: identificação do usuário | Para ajudar com o registro em log e o monitoramento em seu ambiente, habilite o registro em log do AWS WAF (V2) em ACLs da web regionais e globais. O registro em log do AWS WAF fornece informações detalhadas sobre o tráfego que é analisado pela ACL da web. Os logs registram a hora em que o AWS WAF recebeu a solicitação do recurso da AWS, informações sobre a solicitação e uma ação para a regra à qual cada solicitação correspondeu. | |
| 10.3.1 | Registre pelo menos as seguintes entradas da trilha de auditoria para todos os componentes do sistema de cada evento: identificação do usuário | O AWS CloudTrail pode ajudar no não repúdio ao registrar ações e chamadas de API do Console de Gerenciamento da AWS. Você pode identificar os usuários e as Contas da AWS que chamaram um serviço da AWS, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são encontrados no conteúdo do registro do AWS CloudTrail. | |
| 10.3.1 | Registre pelo menos as seguintes entradas da trilha de auditoria para todos os componentes do sistema de cada evento: identificação do usuário | A coleta de eventos de dados do Simple Storage Service (Amazon S3) ajuda a detectar qualquer atividade anômala. Os detalhes incluem informações da Conta da AWS que acessou um bucket, endereço IP e horário do evento do Amazon S3. | |
| 10.3.1 | Registre pelo menos as seguintes entradas da trilha de auditoria para todos os componentes do sistema de cada evento: identificação do usuário | O registro em log do projeto do AWS CodeBuild deve ser habilitado para que os logs de saída de compilação sejam enviados ao Amazon CloudWatch ou ao Amazon Simple Storage Service (Amazon S3). Os logs de saída de compilação fornecem informações detalhadas sobre o projeto de compilação. | |
| 10.3.1 | Registre pelo menos as seguintes entradas da trilha de auditoria para todos os componentes do sistema de cada evento: identificação do usuário | Habilite os logs de erros dos domínios do Amazon OpenSearch Service e transmita-os ao Amazon CloudWatch Logs para retenção e resposta. Os logs de erros do domínio podem auxiliar nas auditorias de segurança e acesso, além de ajudar a diagnosticar problemas de disponibilidade. | |
| 10.3.1 | Registre pelo menos as seguintes entradas da trilha de auditoria para todos os componentes do sistema de cada evento: identificação do usuário | Habilite o registro em log de auditoria nos domínios do Amazon OpenSearch Service. O registro em log de auditoria permite rastrear a atividade do usuário em seus domínios do OpenSearch, incluindo falhas e êxitos na autenticação, solicitações para OpenSearch, alterações em índices e consultas de pesquisa recebidas. | |
| 10.3.1 | Registre pelo menos as seguintes entradas da trilha de auditoria para todos os componentes do sistema de cada evento: identificação do usuário | Habilite os logs de erros dos domínios do Amazon OpenSearch Service e transmita-os ao Amazon CloudWatch Logs para retenção e resposta. Os logs de erros do OpenSearch Service podem auxiliar nas auditorias de segurança e acesso, além de ajudar a diagnosticar problemas de disponibilidade. | |
| 10.3.1 | Registre pelo menos as seguintes entradas da trilha de auditoria para todos os componentes do sistema de cada evento: identificação do usuário | Para ajudar no registro em log e no monitoramento em seu ambiente, habilite o registro em log do Amazon Relational Database Service (Amazon RDS). Com o registro em log do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas. | |
| 10.3.1 | Registre pelo menos as seguintes entradas da trilha de auditoria para todos os componentes do sistema de cada evento: identificação do usuário | Para proteger os dados em repouso, habilite a criptografia para os clusters do Amazon Redshift. Implante também as configurações necessárias nos clusters do Amazon Redshift. O registro em log de auditoria deve ser habilitado para fornecer informações sobre conexões e atividades do usuário no banco de dados. Essa regra exige que um valor seja definido para clusterDbEncrypted (padrão do Config: VERDADEIRO) e loggingEnabled (padrão do Config: VERDADEIRO). Os valores reais devem refletir as políticas da organização. | |
| 10.5 | Proteja trilhas de auditoria para que não possam ser alteradas. | Como pode haver dados confidenciais, e para ajudar a proteger os dados em repouso, habilite a criptografia para as trilhas do AWS CloudTrail. | |
| 10.5 | Proteja trilhas de auditoria para que não possam ser alteradas. | Para ajudar a proteger os dados em repouso, habilite a criptografia para os buckets do Amazon Simple Storage Service (Amazon S3). Como pode haver dados confidenciais em repouso nos buckets do Amazon S3, habilite a criptografia para ajudar a protegê-los. | |
| 10.5 | Proteja trilhas de auditoria para que não possam ser alteradas. | Habilite a criptografia para os buckets do Amazon Simple Storage Service (Amazon S3). Como pode haver dados confidenciais em repouso em um bucket do Amazon S3, habilite a criptografia em repouso para ajudar a protegê-los. | |
| 10.5.2 | Proteja arquivos de trilha de auditoria contra modificações não autorizadas. | Como pode haver dados confidenciais, e para ajudar a proteger os dados em repouso, habilite a criptografia para as trilhas do AWS CloudTrail. | |
| 10.5.2 | Proteja arquivos de trilha de auditoria contra modificações não autorizadas. | Para ajudar a proteger os dados em repouso, habilite a criptografia para os buckets do Amazon Simple Storage Service (Amazon S3). Como pode haver dados confidenciais em repouso nos buckets do Amazon S3, habilite a criptografia para ajudar a protegê-los. | |
| 10.5.2 | Proteja arquivos de trilha de auditoria contra modificações não autorizadas. | Habilite a criptografia para os buckets do Amazon Simple Storage Service (Amazon S3). Como pode haver dados confidenciais em repouso em um bucket do Amazon S3, habilite a criptografia em repouso para ajudar a protegê-los. | |
| 10.5.3 | Faça backup imediatamente dos arquivos de trilha de auditoria em um servidor de log centralizado ou em mídia que seja difícil de alterar. | Configure as políticas de ciclo de vida do Amazon S3 para definir ações que você deseja que o Amazon S3 realize durante o ciclo de vida de um objeto (por exemplo, fazer a transição de objetos para outra classe de armazenamento, arquivá-los ou excluí-los após um período especificado). | |
| 10.5.3 | Faça backup imediatamente dos arquivos de trilha de auditoria em um servidor de log centralizado ou em mídia que seja difícil de alterar. | Para ajudar nos processos de backup de dados, o plano do AWS Backup deve ser definido para uma frequência e retenção mínimas. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups. Essa regra permite definir os parâmetros requiredFrequencyValue (padrão do Config: 1), requiredRetentionDays (padrão do Config: 35) e requiredFrequencyUnit (padrão do Config: dias). O valor real deve refletir os requisitos da organização. | |
| 10.5.3 | Faça backup imediatamente dos arquivos de trilha de auditoria em um servidor de log centralizado ou em mídia que seja difícil de alterar. | Use o Amazon CloudWatch para coletar e gerenciar centralmente a atividade de eventos de logs. A inclusão dos dados do AWS CloudTrail fornece detalhes da atividade de chamadas da API em sua Conta da AWS. | |
| 10.5.3 | Faça backup imediatamente dos arquivos de trilha de auditoria em um servidor de log centralizado ou em mídia que seja difícil de alterar. | A Replicação entre regiões (CRR) do Amazon Simple Storage Service (Amazon S3) é compatível com a manutenção de capacidade e disponibilidade adequadas. A CRR permite a cópia automática e assíncrona de objetos nos buckets do Amazon S3 para ajudar a garantir a manutenção da disponibilidade de dados. | |
| 10.5.5 | Use software de monitoramento de integridade de arquivo ou detecção de alterações em logs para garantir que os dados de log existentes não possam ser alterados sem gerar alertas (embora novos dados adicionados não devam causar um alerta). | Utilize a validação de arquivo de log do AWS CloudTrail para verificar a integridade dos logs do CloudTrail. Essa validação ajuda a determinar se um arquivo de log foi modificado, excluído ou permaneceu inalterado depois de ser fornecido pelo CloudTrail. Esse recurso é criado usando algoritmos padrão do setor: SHA-256 para hashing e SHA-256 com RSA para assinaturas digitais. Desse modo, é computacionalmente impraticável modificar, excluir ou forjar arquivos de log do CloudTrail sem detectar tais ações. | |
| 10.5.5 | Use software de monitoramento de integridade de arquivo ou detecção de alterações em logs para garantir que os dados de log existentes não possam ser alterados sem gerar alertas (embora novos dados adicionados não devam causar um alerta). | O versionamento do bucket do Amazon Simple Storage Service (Amazon S3) ajuda a manter diversas variantes de um objeto no mesmo bucket do Amazon S3. Use o versionamento para preservar, recuperar e restaurar todas as versões de cada objeto armazenado no bucket do Amazon S3. O versionamento ajuda você a se recuperar facilmente de ações não intencionais de usuários e de falhas da aplicação. | |
| 10.7 | Retenha o histórico da trilha de auditoria por ao menos um ano, com um mínimo de três meses imediatamente disponíveis para análise (por exemplo, online, arquivado ou restaurável a partir de backup). | Configure as políticas de ciclo de vida do Amazon S3 para definir ações que você deseja que o Amazon S3 realize durante o ciclo de vida de um objeto (por exemplo, fazer a transição de objetos para outra classe de armazenamento, arquivá-los ou excluí-los após um período especificado). | |
| 10.7 | Retenha o histórico da trilha de auditoria por ao menos um ano, com um mínimo de três meses imediatamente disponíveis para análise (por exemplo, online, arquivado ou restaurável a partir de backup). | Para ajudar nos processos de backup de dados, o plano do AWS Backup deve ser definido para uma frequência e retenção mínimas. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups. Essa regra permite definir os parâmetros requiredFrequencyValue (padrão do Config: 1), requiredRetentionDays (padrão do Config: 35) e requiredFrequencyUnit (padrão do Config: dias). O valor real deve refletir os requisitos da organização. | |
| 11.2.3 | Execute verificações internas e externas e verifique novamente conforme necessário, após qualquer alteração significativa. As verificações devem ser realizadas por pessoal qualificado. | A verificação de imagem do Amazon Elastic Container Repository (ECR) ajuda a identificar vulnerabilidades de software nas imagens do contêiner. Habilitar a verificação de imagens em repositórios do ECR adiciona uma camada de verificação da integridade e segurança das imagens que estão sendo armazenadas. | |
| 11.4 | Use técnicas de detecção e/ou prevenção de intrusões para detectar e/ou prevenir invasões na rede. Monitore todo o tráfego no perímetro do ambiente de dados do titular do cartão, bem como em pontos críticos do ambiente de dados do titular do cartão, e alerte o pessoal sobre suspeitas de comprometimento. Mantenha todos os mecanismos, linhas de base e assinaturas de detecção e prevenção de invasões atualizados. | O Amazon GuardDuty pode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência contra ameaças. Isso inclui listas de IPs maliciosos e machine learning para identificar atividades inesperadas, não autorizadas e mal-intencionadas em seu ambiente na Nuvem AWS. | |
| 11.4 | Use técnicas de detecção e/ou prevenção de intrusões para detectar e/ou prevenir invasões na rede. Monitore todo o tráfego no perímetro do ambiente de dados do titular do cartão, bem como em pontos críticos do ambiente de dados do titular do cartão, e alerte o pessoal sobre suspeitas de comprometimento. Mantenha todos os mecanismos, linhas de base e assinaturas de detecção e prevenção de invasões atualizados. | Uma política do AWS Network Firewall define como seu firewall monitora e gerencia o tráfego em uma Amazon VPC. Você configura grupos de regras stateless e stateful para filtrar pacotes e fluxos de tráfego e define o tratamento padrão do tráfego. | |
| 11.5 | Implemente um mecanismo de detecção de alterações (por exemplo, ferramentas de monitoramento de integridade de arquivos) para alertar o pessoal sobre modificações não autorizadas (incluindo alterações, adições e exclusões) de arquivos críticos do sistema, arquivos de configuração ou arquivos de conteúdo; e configure o software para realizar comparações de arquivos críticos ao menos uma vez por semana. | Utilize a validação de arquivo de log do AWS CloudTrail para verificar a integridade dos logs do CloudTrail. Essa validação ajuda a determinar se um arquivo de log foi modificado, excluído ou permaneceu inalterado depois de ser fornecido pelo CloudTrail. Esse recurso é criado usando algoritmos padrão do setor: SHA-256 para hashing e SHA-256 com RSA para assinaturas digitais. Desse modo, é computacionalmente impraticável modificar, excluir ou forjar arquivos de log do CloudTrail sem detectar tais ações. | |
| 11.5 | Implemente um mecanismo de detecção de alterações (por exemplo, ferramentas de monitoramento de integridade de arquivos) para alertar o pessoal sobre modificações não autorizadas (incluindo alterações, adições e exclusões) de arquivos críticos do sistema, arquivos de configuração ou arquivos de conteúdo; e configure o software para realizar comparações de arquivos críticos ao menos uma vez por semana. | O AWS Security Hub ajuda a monitorar equipes, conexões, dispositivos e software não autorizados. O AWS Security Hub agrega, organiza e prioriza os alertas de segurança ou as descobertas de vários serviços da AWS. Alguns desses serviços são o Amazon Security Hub, o Amazon Inspector, o Amazon Macie, o AWS Identity and Access Management (IAM) Access Analyzer e o AWS Firewall Manager, além de soluções de parceiros da AWS. |
Modelo
O modelo está disponível no GitHub: Operational Best Practices for PCI DSS 3.2.1
