CAIQ (Consensus Assessments Initiative Questionnaire) della CSA
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
CAIQ (Consensus
Assessments Initiative
Questionnaire) della CSA
Gennaio 2017© 2017, Amazon Web Services, Inc. o sue affiliate. Tutti i diritti riservati. Note Il presente documento è fornito a solo scopo informativo. In esso sono illustrate le attuali offerte di prodotti e le prassi di AWS alla data di pubblicazione del documento, offerte che sono soggette a modifica senza preavviso. È responsabilità dei clienti effettuare una propria valutazione indipendente delle informazioni contenute nel presente documento e dell'uso dei prodotti o dei servizi di AWS, ciascuno dei quali viene fornito "così com'è", senza garanzie di alcun tipo, né esplicite né implicite. Il presente documento non dà origine a garanzie, rappresentazioni, impegni contrattuali, condizioni o assicurazioni da parte di AWS, delle sue società affiliate, dei suoi fornitori o dei licenzianti. Le responsabilità di AWS nei confronti dei propri clienti sono definite dai contratti AWS e il presente documento non costituisce parte né modifica qualsivoglia contratto tra AWS e i suoi clienti.
Indice Introduzione 1 CAIQ (Consensus Assessments Initiative Questionnaire) della CSA 1 Approfondimenti 56 Revisioni del documento 56
Sintesi Il questionario dell'iniziativa di valutazione del consenso CSA contiene una serie di domande frequenti che un consumatore di servizi cloud e/o un revisore cloud potrebbero voler chiedere a un fornitore di servizi cloud. Riporta una serie di domande relative alla sicurezza, ai controlli e ai processi che si prestano a una vasta gamma di utilizzi, compresa la scelta del fornitore di servizi cloud e la valutazione della sicurezza. AWS ha completato il questionario fornendo le seguenti risposte.
Amazon Web Services – CAIQ (Consensus Assessments Initiative Questionnaire) della CSA
Introduzione
Cloud Security Alliance (CSA) è "un'organizzazione no profit che intende
promuovere l'utilizzo delle best practice per offrire la garanzia della sicurezza
nel cloud computing ed educare agli utilizzi del cloud computing, rafforzando
allo stesso tempo la sicurezza di tutte le altre forme di elaborazione". Per
ulteriori informazioni, consultare la pagina
https://cloudsecurityalliance.org/about/.
Numerosi professionisti, aziende e associazioni che operano nel settore della
sicurezza partecipano a questa organizzazione per perseguire tale scopo.
CAIQ (Consensus Assessments Initiative
Questionnaire) della CSA
Domande sulla
Gruppo di
CID valutazione del Risposta AWS
controllo
consenso
Sicurezza delle AIS-01.1 Vengono utilizzati Il ciclo di vita dello sviluppo di sistema AWS
applicazioni e standard industriali (SDLC) integra best practice di settore tra cui
delle interfacce (benchmark BSIMM revisioni formali da parte del team di sicurezza
Sicurezza delle (Build Security in Maturity AWS, modellazione delle minacce e
applicazioni Model), Open Group ACS completamento di una valutazione del rischio.
Trusted Technology Per ulteriori dettagli, consultare il whitepaper
Provider Framework, AWS Overview of Security Processes
NIST e così via) per (Panoramica sulle procedure di sicurezza
integrare la sicurezza per AWS).
l'SDLC AWS ha implementato procedure per gestire il
(Systems/Software nuovo sviluppo di risorse. Per ulteriori dettagli,
Development Lifecycle)? fare riferimento allo standard ISO 27001,
AIS-01.2 Viene utilizzato uno appendice A, dominio 14. AWS è stato
strumento di analisi del convalidato e certificato da un revisore
codice sorgente indipendente per confermare la conformità
automatizzato per rilevare allo standard di certificazione ISO 27001.
i difetti di sicurezza del
codice prima della
produzione?
AIS-01.3 Viene utilizzata un'analisi
manuale del codice
sorgente per rilevare i
difetti di sicurezza del
codice prima della
produzione?
Pagina 1Amazon Web Services – CAIQ (Consensus Assessments Initiative Questionnaire) della CSA
Gruppo di CID Domande sulla Risposta AWS
controllo AIS-01.4 valutazione delse tutti i
Viene verificato
consenso
fornitori di software
aderiscono agli standard
di settore per la sicurezza
SDLC (Systems/Software
Development Lifecycle)?
AIS-01.5 (Solo SaaS) Viene
effettuato il controllo delle
applicazioni alla ricerca di
vulnerabilità della
sicurezza e vengono
affrontati gli eventuali
problemi prima della
distribuzione per la
produzione?
Sicurezza delle AIS-02.1 Tutti i requisiti normativi, Spetta sempre ai clienti AWS la responsabilità
applicazioni e contrattuali e di sicurezza di garantire che il proprio uso di AWS sia
delle interfacce identificati per l'accesso conforme alle leggi e alle norme vigenti. AWS
Requisiti di dei clienti sono stati presi comunica ai clienti informazioni sul proprio
accesso dei in considerazione e ambiente di sicurezza e controllo tramite
clienti corretti per contratto certificazioni del settore e attestazioni di terze
prima di concedere ai parti, whitepaper (disponibili all'indirizzo
clienti l'accesso a dati, http://aws.amazon.com/compliance) e
asset e sistemi fornendo certificazioni, rapporti e altra
informatici? documentazione pertinente direttamente ai
clienti AWS.
AIS-02.2 Tutti i requisiti e i livelli di
attendibilità per l'accesso
dei clienti sono stati
definiti e documentati?
Sicurezza delle AIS-03.1 Le routine di integrità di I controlli dell'integrità dei dati AWS descritti
applicazioni e ingresso e uscita dei dati nei rapporti AWS SOC illustrano i controlli
delle interfacce (ovvero, controlli di sull'integrità dei dati mantenuti in tutte le fasi,
Integrità dei modifiche e comprese trasmissione, storage ed
dati riconciliazione) sono state elaborazione.
implementate per i Per ulteriori informazioni, fare inoltre
database e le interfacce riferimento allo standard ISO 27001,
di applicazione in modo appendice A, dominio 14. AWS è stato
da impedire errori di convalidato e certificato da un revisore
elaborazione, manuali o indipendente per confermare la conformità
sistematici o la corruzione allo standard di certificazione ISO 27001.
dei dati?
Pagina 2Amazon Web Services – CAIQ (Consensus Assessments Initiative Questionnaire) della CSA
Gruppo di CID Domande sulla Risposta AWS
controllo
Sicurezza delle AIS-04.1 valutazione
L'architetturadel
di sicurezza L'architettura di sicurezza dei dati AWS è
applicazioni e consenso
dei dati è progettata stata progettata per integrare pratiche
delle interfacce utilizzando uno standard all'avanguardia nel settore.
industriale (ad esempio Fare riferimento alle certificazioni, ai rapporti e
Sicurezza/integ
CDSA, MULITSAFE, ai whitepaper AWS per ulteriori dettagli sulle
rità dei dati
CSA Trusted Cloud pratiche all'avanguardia adottate da AWS
Architectural Standard, (disponibili all'indirizzo
FedRAMP, CAESARS)? http://aws.amazon.com/compliance).
Affidabilità e AAC-01.1 Vengono elaborate AWS ottiene determinate certificazioni di
conformità asserzioni di controllo settore e attestazioni di terze parti
degli audit utilizzando un formato indipendenti e fornisce determinate
strutturato e accettato nel certificazioni, rapporti e altri documenti
Pianificazione
settore (ad esempio pertinenti direttamente ai clienti AWS.
dei controlli
CloudAudit/A6 URI
Ontology, CloudTrust,
SCAP/CYBEX, GRC
XML, Cloud Computing
Management
Audit/Assurance Program
di ISACA, ecc.)?
Affidabilità e AAC-02.1 Si consente ai tenant di AWS fornisce direttamente ai clienti coperti
conformità visualizzare il rapporto dall'accordo di non divulgazione attestazioni di
degli audit SOC2/ISO 27001 o terze parti, certificazioni, rapporti SOC
rapporti simili dei controlli (Service Organization Controls) e altri rapporti
Controlli
o delle certificazioni di rilevanti sulla conformità.
indipendenti
terze parti? La certificazione ISO 27001 di AWS può
AAC-02.2 Vengono eseguiti essere scaricata qui.
periodicamente test di Il rapporto AWS SOC 3 può essere scaricato qui.
intrusione nella rete sul AWS Security esegue scansioni regolari di
servizio cloud, come tutti gli indirizzi IP dell'endpoint del servizio
previsto dalle best connessi a Internet per individuare le
practice e dalle linee vulnerabilità (tali scansioni non includono le
guida di settore? istanze dei clienti). AWS Security notifica alle
Vengono eseguiti parti interessate le eventuali vulnerabilità
AAC-02.3
periodicamente test di identificate a cui è necessario porre rimedio.
intrusione nelle Vengono inoltre eseguite valutazioni di
applicazioni vulnerabilità alle minacce esterne da parte di
sull'infrastruttura cloud, società indipendenti operanti nel settore della
come previsto dalle best sicurezza. I risultati di tali valutazioni e le
practice e dalle linee relative raccomandazioni sono categorizzati e
guida di settore? forniti alla direzione di AWS.
Inoltre, l'ambiente di controllo AWS è soggetto
AAC-02.4 Vengono eseguiti a valutazioni del rischio e audit periodici,
periodicamente controlli interni ed esterni. AWS collabora con organi di
interni, come prescritto certificazione esterni e auditor indipendenti
dalle best practice e dalle per verificare e testare l'ambiente di controllo
linee guida di settore? AWS nel suo insieme.
AAC-02.5 Vengono eseguiti
periodicamente controlli
esterni, come prescritto
Pagina 3Amazon Web Services – CAIQ (Consensus Assessments Initiative Questionnaire) della CSA
Gruppo di CID Domande sulla Risposta AWS
controllo valutazione
dalle del e dalle
best practice
consenso
linee guida di settore?
AAC-02.6 I risultati dei test di
intrusione sono messi a
disposizione dei tenant su
loro richiesta?
AAC-02.7 I risultati dei controlli
interni ed esterni sono
messi a disposizione dei
tenant su loro richiesta?
AAC-02.8 Esiste un programma di
controlli interni che
consenta una verifica
interfunzionale delle
valutazioni?
Affidabilità e AAC-03.1 È possibile segmentare a Tutti i dati archiviati da AWS per conto dei
conformità livello logico o clienti dispongono di solide funzionalità di
degli audit crittografare i dati dei sicurezza e controllo dell'isolamento dei
Mappatura clienti, per far sì che i dati tenant. I clienti mantengono il controllo e la
normativa del possano essere prodotti proprietà dei propri dati, pertanto è loro
sistema solo per un unico tenant, responsabilità scegliere se crittografare i dati.
informativo senza accedere AWS consente ai clienti di utilizzare i propri
inavvertitamente ai dati di meccanismi di crittografia per quasi tutti i
un altro tenant? servizi, inclusi S3, EBS, SimpleDB ed EC2.
I tunnel da IPSec a VPC sono anch'essi
AAC-03.2 È possibile recuperare i
crittografati. I clienti, inoltre, possono utilizzare
dati per uno specifico
AWS Key Management Systems (KMS) per
cliente in caso di problemi
creare e controllare le chiavi di crittografia
o di perdita di dati?
(fare riferimento a
https://aws.amazon.com/kms/). Per ulteriori
dettagli, consultare il whitepaper AWS Cloud
Security (Panoramica sulla sicurezza del
cloud AWS), disponibile all'indirizzo
http://aws.amazon.com/security
AWS consente ai clienti di eseguire backup su
nastro utilizzando il fornitore di servizi da loro
scelto. Tuttavia, AWS non fornisce il servizio
di backup su nastro. I servizi Amazon S3 e
Glacier sono stati progettati per ridurre
pressoché a zero il rischio di perdita di dati e
la durabilità equivalente a copie multisito degli
oggetti dati è ottenuta tramite la ridondanza
dello storage dei dati. Per informazioni sulla
durabilità dei dati e la ridondanza consultare il
sito Web AWS.
Pagina 4Amazon Web Services – CAIQ (Consensus Assessments Initiative Questionnaire) della CSA
Gruppo di CID Domande sulla Risposta AWS
controllo AAC-03.3 valutazione del lo
È possibile limitare I clienti AWS indicano in quale regione fisica
consenso
storage dei dati dei clienti saranno ubicati i propri contenuti. AWS non
a specifici paesi o aree sposterà i contenuti dei clienti dalle regioni
geografiche? selezionate senza avvisare il cliente, a meno
che ciò non sia necessario in osservanza
della legge o di richieste da parte di enti
governativi. Per un elenco completo delle
regioni disponibili, consultare la pagina
Infrastruttura globale di AWS.
AAC-03.4 È stato implementato un AWS esegue il monitoraggio dei requisiti di
programma che abbia la legge e normativi pertinenti.
capacità di monitorare le Per ulteriori dettagli, fare riferimento allo
modifiche ai requisiti di standard ISO 27001, appendice 18. AWS è
legge nelle giurisdizioni stato convalidato e certificato da un revisore
pertinenti, adeguare il indipendente per confermare la conformità
programma di sicurezza a allo standard di certificazione ISO 27001.
tali modifiche e
assicurare la conformità
ai requisiti normativi
pertinenti?
Gestione della BCR-01.1 Ai tenant vengono fornite I data center sono costruiti in cluster in diverse
continuità opzioni di hosting regioni globali. AWS offre ai clienti la
operativa e resilienti dal punto di vista flessibilità necessaria per avviare istanze e
resilienza geografico? memorizzare dati all'interno di più regioni
operativa geografiche e in più zone di disponibilità
BCR-01.2 Ai tenant viene fornita la
Pianificazione all'interno di ogni regione. I clienti dovrebbero
funzionalità di failover per
della continuità pianificare l'utilizzo di AWS in modo da
i servizi infrastrutturali ad
aziendale sfruttare le diverse regioni e zone di
altri fornitori?
disponibilità.
Per ulteriori dettagli, consultare il whitepaper
AWS Cloud Security (Panoramica sulla
sicurezza del cloud AWS), disponibile
all'indirizzo http://aws.amazon.com/security.
Gestione della BCR-02.1 I piani di continuità I piani e le policy di continuità operativa AWS
continuità operativa sono sottoposti sono stati sviluppati e testati in linea con gli
operativa e a test a intervalli standard ISO 27001.
resilienza pianificati o in caso di Per ulteriori dettagli su AWS e sulla continuità
operativa modifiche ambientali o operativa, fare riferimento allo standard ISO
Test della organizzative significative 27001, appendice A, domino 17.
continuità per garantire una
aziendale costante efficacia?
Pagina 5Amazon Web Services – CAIQ (Consensus Assessments Initiative Questionnaire) della CSA
Gruppo di CID Domande sulla Risposta AWS
controllo
Gestione della BCR-03.1 valutazione delfornita la
Ai tenant viene I clienti AWS indicano in quale regione fisica
continuità consenso
documentazione in cui è saranno ubicati i propri dati e server. AWS
operativa e descritto il percorso di non sposterà i contenuti dei clienti dalle
resilienza trasporto dei propri dati regioni selezionate senza avvisare il cliente, a
operativa tra un sistema e l'altro? meno che ciò non sia necessario in
Alimentazione/ osservanza della legge o di richieste da parte
BCR-03.2 I tenant possono definire
telecomuni- di enti governativi. Nei rapporti AWS SOC
in che modo i propri dati
cazioni sono forniti ulteriori dettagli. I clienti possono
vengono trasportati e
anche scegliere il loro percorso di rete alle
attraverso quali
strutture AWS, tra cui reti private dedicate in
giurisdizioni legali?
cui il cliente controlla l'instradamento del
traffico.
Gestione della BCR-04.1 I documenti relativi al La documentazione sul sistema informativo è
continuità sistema informatico (ad resa disponibile internamente al personale
operativa e esempio guide per gli AWS tramite il sito Intranet di Amazon. Per
resilienza utenti e gli amministratori, ulteriori dettagli, consultare il whitepaper AWS
operativa schemi dell'architettura e Cloud Security (Panoramica sulla sicurezza
Documenta- così via) sono messi a del cloud AWS), disponibile all'indirizzo
zione disposizione del http://aws.amazon.com/security/.
personale autorizzato per Fare riferimento allo standard ISO 27001,
garantire la corretta appendice A, dominio 12.
configurazione,
installazione e utilizzo del
sistema informatico?
Gestione della BCR-05.1 La protezione fisica I data center AWS si avvalgono di protezioni
continuità contro danni (ad esempio fisiche contro i rischi ambientali. La protezione
operativa e da calamità, eventi fisica adottata da AWS contro i rischi
resilienza naturali, attacchi ambientali è stata convalidata da un revisore
operativa deliberati) è prevista e indipendente e ne è stata certificata la
Rischi progettata e sono conformità con le best practice ISO 27002.
ambientali applicate contromisure? Fare riferimento allo standard ISO 27001,
appendice A, dominio 11.
Gestione della BCR-06.1 Esistono data center della I data center AWS si avvalgono di protezioni
continuità società situati in luoghi fisiche contro i rischi ambientali. La protezione
operativa e caratterizzati da alta fisica adottata da AWS contro i rischi
resilienza probabilità/frequenza di ambientali è stata convalidata da un revisore
operativa rischi ambientali a indipendente e ne è stata certificata la
Ubicazione impatto elevato conformità con le best practice ISO 27002.
dell'apparecchi (inondazioni, tornado, Fare riferimento allo standard ISO 27001,
atura terremoti, uragani e così appendice A, dominio 11.
via)?
Pagina 6Amazon Web Services – CAIQ (Consensus Assessments Initiative Questionnaire) della CSA
Gruppo di CID Domande sulla Risposta AWS
controllo
Gestione della BCR-07.1 valutazione
Se si utilizza del La funzionalità EBS Snapshot consente ai
continuità consenso
l'infrastruttura virtuale, la clienti di acquisire e ripristinare le immagini
operativa e soluzione cloud include della macchina virtuale in qualsiasi momento.
resilienza funzionalità di ripristino e I clienti possono esportare le proprie AMI e
operativa recupero indipendenti utilizzarle localmente o presso un altro
dall'hardware? fornitore (soggetto alle limitazioni di licenza
Manutenzione
delle BCR-07.2 Se si utilizza del software). Per ulteriori dettagli, consultare
apparecchiature l'infrastruttura virtuale, ai il whitepaper AWS Cloud Security
tenant viene consentito di (Panoramica sulla sicurezza del cloud AWS),
ripristinare una macchina disponibile all'indirizzo
virtuale a uno stato http://aws.amazon.com/security.
precedente nel tempo?
BCR-07.3 Se si utilizza
l'infrastruttura virtuale,
sono consentiti il
download e il
trasferimento delle
immagini della macchina
virtuale a un nuovo
fornitore di servizi cloud?
BCR-07.4 Se si utilizza
l'infrastruttura virtuale, le
immagini delle macchine
sono messe a
disposizione del cliente in
modo tale da permettergli
di replicare tali immagini
nella propria posizione di
storage fuori sede?
BCR-07.5 La soluzione cloud
include funzionalità di
ripristino e recupero
indipendenti dal
software/provider?
Gestione della BCR-08.1 Sono stati implementati L'apparecchiatura AWS è protetta dalle
continuità meccanismi di sicurezza interruzioni dei servizi di utilità in conformità
operativa e e ridondanza per allo standard ISO 27001. AWS è stato
resilienza proteggere le convalidato e certificato da un auditor
operativa apparecchiature da indipendente per confermare la conformità
interruzioni dei servizi di allo standard di certificazione ISO 27001.
Interruzione di
utilità (ad esempio
corrente alle Nei rapporti AWS SOC vengono fornite
interruzioni di corrente,
apparecchiature interruzioni di rete e così informazioni aggiuntive sui controlli applicati
via)? per ridurre al minimo gli effetti di un
malfunzionamento o di un problema fisico del
computer o nelle strutture dei data center.
Fare inoltre riferimento al whitepaper AWS
Cloud Security (Panoramica sulla sicurezza
del cloud AWS), disponibile all'indirizzo
http://aws.amazon.com/security.
Pagina 7Amazon Web Services – CAIQ (Consensus Assessments Initiative Questionnaire) della CSA
Gruppo di CID Domande sulla Risposta AWS
controllo
Gestione della BCR-09.1 valutazione del forniti
Ai tenant vengono AWS CloudWatch assicura il monitoraggio
continuità consenso
visibilità continua e delle risorse cloud AWS e delle applicazioni
operativa e reporting delle prestazioni eseguite dai clienti su AWS. Per ulteriori
resilienza operative del contratto sul dettagli, consultare la pagina
operativa livello di servizio (SLA, aws.amazon.com/cloudwatch. AWS pubblica
Service Level inoltre le informazioni più aggiornate relative
Analisi
Agreement)? alla disponibilità del servizio sul pannello di
dell'impatto
BCR-09.2 Le metriche di sicurezza controllo stato servizi. Fare riferimento a
delle informazioni basate status.aws.amazon.com.
su standard (CSA, CAMM
e così via) sono messe a
disposizione dei tenant?
BCR-09.3 Ai clienti viene fornita
visibilità continua e
reporting delle prestazioni
del contratto sul livello di
servizio (SLA, Service
Level Agreement)?
Gestione della BCR-10.1 Policy e procedure Sono state stabilite policy e procedure
continuità vengono stabilite e attraverso il framework AWS Information
operativa e messe a disposizione di Security in base allo standard NIST 800-53,
resilienza tutto il personale per ISO 27001, ISO 27017, ISO 27018, ISO 9001
operativa supportare e ai requisiti PCI DSS.
Policy adeguatamente i ruoli Per ulteriori dettagli, consultare il whitepaper
operativi dei servizi? su rischio e conformità AWS, disponibile
all'indirizzo
http://aws.amazon.com/compliance.
Gestione della BCR-11.1 Si dispone delle capacità AWS consente ai clienti di eliminare i propri
continuità di controllo tecnico per dati. Tuttavia, i clienti AWS detengono il
operativa e attuare le policy di controllo e la proprietà dei propri dati, pertanto
resilienza conservazione dei dati è responsabilità dei clienti gestire la
operativa dei tenant? conservazione dei dati sulla base dei propri
Policy di requisiti. Per ulteriori dettagli, consultare il
BCR-11.2 È stata messa in atto una
conservazione whitepaper AWS Cloud Security (Panoramica
procedura documentata
sulla sicurezza del cloud AWS), disponibile
per rispondere alle
all'indirizzo http://aws.amazon.com/security.
richieste di dati dei tenant
da parte di governi o di AWS si impegna a proteggere la privacy dei
terze parti? clienti ed è vigile nel determinare le richieste
di applicazione delle norme che devono
essere rispettate. AWS non esita a contestare
i provvedimenti delle forze dell'ordine qualora
ritenga che tali misure siano prive di una
solida base. Per ulteriori informazioni, fare
riferimento a
https://aws.amazon.com/compliance/data-
privacy-faq/.
Pagina 8Amazon Web Services – CAIQ (Consensus Assessments Initiative Questionnaire) della CSA
Gruppo di CID Domande sulla Risposta AWS
controllo BCR-11.4 valutazione del
Sono stati implementati I meccanismi di backup e di ridondanza AWS
consenso
meccanismi di backup o sono stati sviluppati e testati in linea con gli
di ridondanza per standard ISO 27001. Per ulteriori informazioni
garantire il rispetto dei sui meccanismi di backup e ridondanza AWS,
requisiti normativi, legali, fare riferimento allo standard ISO 27001,
contrattuali o aziendali? appendice A, dominio 12 e al rapporto AWS
SOC 2.
BCR-11.5 I meccanismi di backup o
di ridondanza sono
sottoposti a test almeno
una volta all'anno?
Controllo delle CCC- Esistono policy e Sono state stabilite policy e procedure
modifiche e 01.1 procedure per la gestione attraverso il framework AWS Information
gestione delle dell'autorizzazione per lo Security in base allo standard NIST 800-53,
configurazioni sviluppo o all'acquisizione ISO 27001, ISO 27017, ISO 27018, ISO 9001
Nuovo di nuove applicazioni, e ai requisiti PCI DSS.
sviluppo/ sistemi, database, Se il cliente ha mosso i primi passi in AWS
acquisizione infrastrutture, servizi, oppure se è un utente avanzato, potrà trovare
operazioni e impianti? informazioni utili sui servizi, che spaziano
dalle nozioni introduttive alle caratteristiche
avanzate, nella sezione Documentazione
AWS del sito Web all'indirizzo
https://aws.amazon.com/documentation/.
CCC- È disponibile una
01.2 documentazione che
descriva l'installazione, la
configurazione e l'utilizzo
di prodotti/
servizi/caratteristiche?
Controllo delle CCC- Sono disponibili controlli AWS generalmente non esternalizza lo
modifiche e 02.1 per assicurare che gli sviluppo di software. AWS integra standard di
gestione delle standard di qualità qualità nell'ambito dei processi SDLC (System
configurazioni vengano rispettati per Development Lifecycle, ciclo di vita di sviluppo
Sviluppo in tutto lo sviluppo del dei sistemi).
outsourcing software? Per ulteriori dettagli, fare riferimento allo
CCC- Sono disponibili controlli standard ISO 27001, appendice A, dominio
02.2 per rilevare i difetti di 14. AWS è stato convalidato e certificato da
sicurezza del codice un auditor indipendente per confermare la
sorgente per tutte le conformità allo standard di certificazione ISO
attività di sviluppo 27001.
software in outsourcing?
Pagina 9Amazon Web Services – CAIQ (Consensus Assessments Initiative Questionnaire) della CSA
Gruppo di CID Domande sulla Risposta AWS
controllo
Controllo delle CCC- valutazione delfornita la
Ai tenant viene AWS dispone della certificazione ISO 9001. Si
modifiche e 03.1 consenso
documentazione in cui è tratta di una convalida indipendente del
gestione delle descritta la procedura di sistema di qualità AWS che ha accertato che
configurazioni controllo qualità? le attività di AWS sono conformi ai requisiti
Test di qualità della certificazione ISO 9001.
CCC- È disponibile una
03.2 documentazione che I bollettini sulla sicurezza AWS comunicano ai
descriva i problemi noti di clienti gli eventi relativi alla sicurezza e alla
alcuni prodotti/servizi? privacy. I clienti possono iscriversi al feed
RSS dei bollettini sulla sicurezza AWS nel sito
CCC- Sono state implementate Web di AWS. Fare riferimento
03.3 policy e procedure per aws.amazon.com/security/security-bulletins/.
valutare e trovare una
AWS pubblica inoltre le informazioni più
soluzione a bug e
aggiornate relative alla disponibilità del
vulnerabilità della
servizio sul pannello di controllo stato servizi.
sicurezza segnalati per le
Fare riferimento a status.aws.amazon.com.
offerte di prodotti e
servizi? Il ciclo di vita dello sviluppo di sistema AWS
(SDLC) integra best practice di settore tra cui
CCC- Sono stati implementati revisioni formali da parte del team di sicurezza
03.4 meccanismi per garantire AWS, modellazione delle minacce e
che tutti gli elementi del completamento di una valutazione del rischio.
debug e del codice di Per ulteriori dettagli, consultare il whitepaper
prova siano stati rimossi AWS Overview of Security Processes
dalle versioni software
(Panoramica sulle procedure di sicurezza AWS).
rilasciate?
Per ulteriori informazioni, fare inoltre
riferimento allo standard ISO 27001,
appendice A, dominio 14. AWS è stato
convalidato e certificato da un revisore
indipendente per confermare la conformità
allo standard di certificazione ISO 27001.
Controllo delle CCC- Sono disponibili controlli Il programma, i processi e le procedure AWS
modifiche e 04.1 per limitare e monitorare per la gestione del software malware sono
gestione delle l'installazione di software conformi agli standard ISO 27001.
configurazioni non autorizzato sui propri
Per ulteriori dettagli, fare riferimento allo
sistemi?
Installazioni standard ISO 27001, appendice A, dominio
software non 12. AWS è stato convalidato e certificato da
autorizzate un revisore indipendente per confermare la
conformità allo standard di certificazione ISO
27001.
Controllo delle CCC- Ai tenant viene fornita la Nei rapporti AWS SOC è fornita una
modifiche e 05.1 documentazione in cui panoramica sui controlli disponibili per gestire
gestione delle sono descritte le le modifiche nell'ambiente AWS.
configurazioni procedure di gestione dei
Per ulteriori informazioni, fare inoltre
cambi in produzione e i
Cambi riferimento allo standard ISO 27001,
loro relativi ruoli/diritti/
produzione appendice A, dominio 12. AWS è stato
responsabilità?
convalidato e certificato da un auditor
indipendente per confermare la conformità
allo standard di certificazione ISO 27001.
Pagina 10Amazon Web Services – CAIQ (Consensus Assessments Initiative Questionnaire) della CSA
Gruppo di CID Domande sulla Risposta AWS
controllo
Sicurezza dei DSI-01.1 valutazione
Viene offerta del
la possibilità Ai clienti vengono assegnate macchine virtuali
dati e gestione consenso
di identificare le macchine nell'ambito del servizio EC2. I clienti
del ciclo di vita virtuali tramite tag di mantengono il controllo su quali risorse
delle policy/metadati (ad vengono utilizzate e su dove le risorse
informazioni esempio tag che possono risiedono. Per ulteriori dettagli, consultare il
essere utilizzati per sito Web AWS all'indirizzo
Classificazione
evitare che i sistemi http://aws.amazon.com.
operativi guest possano
avviare/creare
istanze/trasportare i dati
nel paese errato)?
DSI-01.2 Viene offerta la possibilità AWS offre la possibilità di aggiungere tag alle
di identificare l'hardware risorse EC2. Una forma di metadati, i tag EC2,
tramite tag di può essere utilizzata per creare nomi
policy/metadati/tag di facilmente identificabili dagli utenti, migliorare
hardware (ad esempio la ricercabilità e rafforzare il coordinamento tra
TXT/TPM, VN-Tag e così più utenti. La console di gestione AWS
via)? supporta anch'essa i tag.
DSI-01.3 È possibile utilizzare la AWS offre la possibilità di eseguire l'accesso
posizione geografica del utente condizionato in base all'indirizzo IP. I
sistema come fattore di clienti possono aggiungere le condizioni per
autenticazione? controllare la modalità di utilizzo di AWS da
parte degli utenti, come ad esempio l'ora del
giorno, il relativo indirizzo IP di origine o
l'eventuale utilizzo di SSL.
DSI-01.4 Amazon fornisce la AWS offre ai clienti la flessibilità necessaria
posizione fisica/l'area per avviare istanze e memorizzare dati
geografica dello storage all'interno di più regioni geografiche. I clienti
dei dati di un tenant su AWS indicano in quale regione fisica saranno
richiesta? ubicati i propri dati e server. AWS non
sposterà i contenuti dei clienti dalle regioni
DSI-01.5 Amazon fornisce la
selezionate senza avvisare il cliente, a meno
posizione fisica/l'area
che ciò non sia necessario in osservanza
geografica dello storage
della legge o di richieste da parte di enti
dei dati di un tenant in
governativi. Le dodici regioni presenti al
anticipo?
momento della stesura del presente
documento sono le seguenti: Stati Uniti
orientali (Virginia settentrionale), Stati Uniti
occidentali (Oregon), Stati Uniti occidentali
(California settentrionale), AWS GovCloud
(US) (Oregon), UE (Irlanda), UE (Francoforte),
Asia Pacifico (Seoul), Asia Pacifico
(Singapore), Asia Pacifico (Tokyo), Asia
Pacifico (Sydney), Cina (Pechino) e Sud
America (San Paolo).
DSI-01.6 Viene seguito uno I clienti AWS mantengono il controllo e la
standard strutturato per proprietà dei propri dati e possono
l'etichettatura dei dati (ad implementare uno standard strutturato di
esempio ISO 15489, etichettatura dei dati per soddisfare i propri
Pagina 11Amazon Web Services – CAIQ (Consensus Assessments Initiative Questionnaire) della CSA
Gruppo di CID Domande sulla Risposta AWS
controllo valutazione
Oasis del
XML Catalog requisiti.
consenso
Specification, CSA Data
Type Guidance)?
DSI-01.7 Si consente ai tenant di AWS offre ai clienti la flessibilità necessaria
definire le posizioni per avviare istanze e memorizzare dati
geografiche accettabili all'interno di più regioni geografiche. I clienti
per il routing dei dati o la AWS indicano in quale regione fisica saranno
creazione dell'istanza ubicati i propri dati e server. AWS non
delle risorse? sposterà i contenuti dei clienti dalle regioni
selezionate senza avvisare il cliente, a meno
che ciò non sia necessario in osservanza
della legge o di richieste da parte di enti
governativi. Le dodici regioni presenti al
momento della stesura del presente
documento sono le seguenti: Stati Uniti
orientali (Virginia settentrionale), Stati Uniti
occidentali (Oregon), Stati Uniti occidentali
(California settentrionale), AWS GovCloud
(US) (Oregon), UE (Irlanda), UE (Francoforte),
Asia Pacifico (Seoul), Asia Pacifico
(Singapore), Asia Pacifico (Tokyo), Asia
Pacifico (Sydney), Cina (Pechino) e Sud
America (San Paolo).
Sicurezza dei DSI-02.1 Vengono inventariati, I clienti AWS indicano in quale regione fisica
dati e gestione documentati e gestiti i saranno ubicati i propri contenuti. AWS non
del ciclo di vita flussi dei dati residenti (in sposterà i contenuti dei clienti dalle regioni
delle via permanente o selezionate senza avvisare il cliente, a meno
informazioni temporanea) nelle che ciò non sia necessario in osservanza
Inventario/ applicazioni dei servizi e della legge o di richieste da parte di enti
flussi dei dati nella rete e nei sistemi governativi. Le dodici regioni presenti al
dell'infrastruttura? momento della stesura del presente
documento sono le seguenti: Stati Uniti
DSI-02.2 Si garantisce che i dati
orientali (Virginia settentrionale), Stati Uniti
non migrino al di là di una
occidentali (Oregon), Stati Uniti occidentali
determinata residenza
(California settentrionale), AWS GovCloud
geografica?
(US) (Oregon), UE (Irlanda), UE (Francoforte),
Asia Pacifico (Seoul), Asia Pacifico
(Singapore), Asia Pacifico (Tokyo), Asia
Pacifico (Sydney), Cina (Pechino) e Sud
America (San Paolo).
Pagina 12Amazon Web Services – CAIQ (Consensus Assessments Initiative Questionnaire) della CSA
Gruppo di CID Domande sulla Risposta AWS
controllo
Sicurezza dei DSI-03.1 valutazione del fornite
Ai tenant vengono Tutte le API AWS sono disponibili tramite gli
dati e gestione consenso
metodologie di crittografia endpoint SSH protetti che forniscono
del ciclo di vita aperte (3.4ES, AES e l'autenticazione del server. AWS consente ai
delle così via), in modo da clienti di utilizzare i propri meccanismi di
informazioni permettere la protezione crittografia per quasi tutti i servizi, inclusi S3,
Transazioni dei dati se è necessario EBS, SimpleDB ed EC2. I tunnel da IPSec a
eCommerce attraversare reti VPC sono anch'essi crittografati. I clienti,
pubbliche (ad esempio inoltre, possono utilizzare AWS Key
Internet)? Management Systems (KMS) per creare e
controllare le chiavi di crittografia (fare
DSI-03.2 Vengono utilizzate
riferimento a https://aws.amazon.com/kms/). I
metodologie di crittografia
clienti possono utilizzare anche tecnologie di
aperte ogniqualvolta i
crittografia di terze parti.
componenti
dell'infrastruttura devono Per ulteriori dettagli, consultare il whitepaper
comunicare tra loro su AWS Cloud Security (Panoramica sulla
reti pubbliche (ad sicurezza del cloud AWS), disponibile
esempio replica dei dati all'indirizzo http://aws.amazon.com/security.
basata su Internet da un
ambiente all'altro)?
Sicurezza dei DSI-04.1 Sono state stabilite policy I clienti AWS detengono il controllo e la
dati e gestione e procedure per proprietà dei propri dati e possono
del ciclo di vita etichettatura, gestione e implementare una policy di etichettatura e
delle protezione di dati e gestione e procedure specifiche per
informazioni oggetti che contengono soddisfare le proprie esigenze.
Policy di dati?
gestione/ DSI-04.2 Sono stati implementati
etichettatura/ meccanismi per
protezione l'ereditarietà delle
etichette per gli oggetti
che fungono da
contenitori aggregati per i
dati?
Sicurezza dei DSI-05.1 Sono state implementate I clienti AWS detengono il controllo e la
dati e gestione procedure per garantire proprietà dei propri dati. AWS offre ai clienti la
del ciclo di vita che i dati di produzione possibilità di gestire e sviluppare ambienti di
delle non possano essere produzione e non destinati alla produzione. È
informazioni replicati o utilizzati negli responsabilità del cliente assicurarsi che i
Dati non ambienti non destinati propri dati di produzione non vengano replicati
destinati alla alla produzione? in ambienti non destinati alla produzione.
produzione
Sicurezza dei DSI-06.1 Le responsabilità relative I clienti AWS detengono il controllo e la
dati e gestione all'amministrazione dei proprietà dei propri dati. Per ulteriori
del ciclo di vita dati sono definite, informazioni, fare riferimento al contratto
delle assegnate, documentate clienti AWS.
informazioni e comunicate?
Proprietà/ammi
nistrazione
Pagina 13Amazon Web Services – CAIQ (Consensus Assessments Initiative Questionnaire) della CSA
Gruppo di CID Domande sulla Risposta AWS
controllo
Sicurezza dei DSI-07.1 valutazione del
L'eliminazione sicura (ad Quando un dispositivo di storage raggiunge la
dati e gestione consenso
esempio fine della sua vita utile, le procedure AWS
del ciclo di vita smagnetizzazione/ includono un processo di disattivazione
delle cancellazione progettato per impedire che i dati del cliente
informazioni crittografica) dei dati siano accessibili a persone non autorizzate.
Smaltimento archiviati e di backup, AWS utilizza le tecniche riportate in dettaglio
sicuro così come determinato nel DoD 5220.22-M ("National Industrial
dal tenant, è supportata? Security Program Operating Manual") o NIST
800-88 ("Guidelines for Media Sanitization")
DSI-07.2 Amazon fornisce una
per distruggere i dati come parte del processo
procedura pubblicata per
di disattivazione. Se non è possibile
la cessazione
disattivare un dispositivo hardware mediante
dell'accordo di servizio,
queste procedure, il dispositivo sarà
compresa l'assicurazione
smagnetizzato o distrutto fisicamente in
per la pulizia di tutte le
conformità alle procedure standard del
risorse informatiche dei
settore. Per ulteriori dettagli, consultare il
dati del tenant, dopo che
whitepaper AWS Cloud Security (Panoramica
un cliente è uscito dal
sulla sicurezza del cloud AWS), disponibile
proprio ambiente o ha
all'indirizzo http://aws.amazon.com/security.
lasciato libera una
risorsa? I volumi Amazon EBS si presentano come
dispositivi a blocchi vergini non formattati che
sono stati sottoposti a cancellazione prima di
essere resi disponibili per l'uso. La
cancellazione viene effettuata subito prima del
riutilizzo, per essere certi che il processo di
cancellazione sia stato completato. Amazon
EBS consente di implementare procedure che
richiedono la cancellazione di tutti i dati con
un metodo specifico, come quelli descritti in
DoD 5220.22-M ("National Industrial Security
Program Operating Manual") o in NIST 800-88
("Guidelines for Media Sanitization"). È
opportuno effettuare una procedura di
cancellazione specializzata prima di
procedere alla cancellazione del volume per la
conformità ai propri requisiti.
La crittografia di dati sensibili è, in genere,
una prassi di sicurezza affidabile e AWS
consente di crittografare i volumi EBS e le loro
snapshot con AES-256. La crittografia viene
effettuata sui server che ospitano le istanze
EC2, mentre i dati si spostano tra istanze EC2
e storage EBS. Per poter completare tale
procedura in modo efficiente e con una bassa
latenza, la caratteristica di crittografia EBS è
disponibile solo sui tipi di istanze EC2 più
potenti (ad esempio M3, C3, R3, G2).
Pagina 14Amazon Web Services – CAIQ (Consensus Assessments Initiative Questionnaire) della CSA
Gruppo di CID Domande sulla Risposta AWS
controllo
Sicurezza dei DCS-01.1 valutazione del un
Viene mantenuto In linea con gli standard ISO 27001, gli asset
data center consenso
inventario completo di hardware AWS sono assegnati ad un
Gestione degli tutti gli asset critici che responsabile, tracciati e monitorati dal
asset include la proprietà personale AWS mediante gli strumenti di
dell'asset? gestione inventario proprietari di AWS. Il team
della catena di approvvigionamento e
DCS-01.2 Viene mantenuto un
distribuzione AWS mantiene i rapporti con tutti
inventario completo di
i fornitori AWS.
tutti i rapporti con i
fornitori critici? Per ulteriori dettagli, fare riferimento agli
standard ISO 27001, appendice A, dominio 8.
AWS è stato convalidato e certificato da un
revisore indipendente per confermare la
conformità allo standard di certificazione ISO
27001.
Sicurezza dei DCS-02.1 Sono stati implementati I controlli di sicurezza fisici includono, a titolo
data center perimetri di sicurezza esemplificativo, controlli perimetrali, quali
Punti di fisici (ad esempio recinzioni, pareti, personale addetto alla
accesso recinzioni, pareti, sicurezza, video sorveglianza, sistemi di
controllati barriere, protezioni, rilevamento dell'intrusione e altri dispositivi
cancelli, sorveglianza elettronici. Nei rapporti AWS SOC vengono
elettronica, meccanismi di forniti dettagli aggiuntivi sulle attività di
autenticazione fisici, controllo specifiche eseguite da AWS. Per
banchi di accoglienza e ulteriori informazioni, fare riferimento agli
pattuglie di sicurezza)? standard ISO 27001, appendice A, dominio
11. AWS è stato convalidato e certificato da
un revisore indipendente per confermare la
conformità allo standard di certificazione ISO
27001.
Sicurezza dei DCS-03.1 L'identificazione AWS gestisce l'identificazione delle
data center automatica delle apparecchiature in conformità allo standard
Identificazione apparecchiature viene ISO 27001.
delle utilizzata come metodo AWS è stato convalidato e certificato da un
apparecchiature per convalidare l'integrità revisore indipendente per confermare la
di autenticazione della conformità allo standard di certificazione ISO
connessione sulla base 27001.
dell'ubicazione nota delle
apparecchiature?
Sicurezza dei DCS-04.1 Ai tenant viene fornita la I clienti AWS indicano in quale regione fisica
data center documentazione che saranno ubicati i propri dati. AWS non
Autorizzazione descrive gli scenari in cui sposterà i contenuti dei clienti dalle regioni
fuori sede i dati possono essere selezionate senza avvisare il cliente, a meno
spostati da una posizione che ciò non sia necessario in osservanza
fisica a un'altra (ad della legge o di richieste da parte di enti
esempio backup fuori governativi.
sede, failover della Per ulteriori dettagli, consultare il whitepaper
continuità di servizio, AWS Cloud Security (Panoramica sulla
replica)? sicurezza del cloud AWS), disponibile
all'indirizzo http://aws.amazon.com/security.
Pagina 15Amazon Web Services – CAIQ (Consensus Assessments Initiative Questionnaire) della CSA
Gruppo di CID Domande sulla Risposta AWS
controllo
Sicurezza dei DCS-05.1 valutazione del ai
È possibile fornire In linea con gli standard ISO 27001, quando
data center consenso
tenant le prove che un dispositivo di storage raggiunge la fine
Apparecchiature documentano le policy e della sua vita utile, le procedure AWS
fuori sede le procedure che includono un processo di disattivazione
regolano la gestione degli progettato per impedire che i dati del cliente
asset e la riallocazione siano accessibili a persone non autorizzate.
delle apparecchiature? AWS utilizza le tecniche riportate in dettaglio
nel DoD 5220.22-M ("National Industrial
Security Program Operating Manual") o NIST
800-88 ("Guidelines for Media Sanitization")
per distruggere i dati come parte del processo
di disattivazione. Se non è possibile
disattivare un dispositivo hardware mediante
queste procedure, il dispositivo sarà
smagnetizzato o distrutto fisicamente in
conformità alle procedure standard del
settore.
Per ulteriori dettagli, fare riferimento agli
standard ISO 27001, appendice A, dominio 8.
AWS è stato convalidato e certificato da un
revisore indipendente per confermare la
conformità allo standard di certificazione ISO
27001.
Sicurezza dei DCS-06.1 Amazon fornisce prova AWS collabora con organismi di certificazione
data center che sono state stabilite esterni e revisori indipendenti per esaminare e
Policy policy, standard e convalidare la nostra conformità con i quadri
procedure per il di conformità. Nei rapporti AWS SOC vengono
mantenimento di un forniti dettagli aggiuntivi sulle attività di
ambiente di lavoro sicuro controllo della sicurezza fisica specifiche
e protetto in uffici, sale, eseguite da AWS. Per ulteriori dettagli, fare
strutture e aree protette? riferimento agli standard ISO 27001,
appendice A, dominio 11. AWS è stato
convalidato e certificato da un revisore
indipendente per confermare la conformità
allo standard di certificazione ISO 27001.
DCS-06.2 Si può dimostrare che il In linea con lo standard ISO 27001, tutti i
personale e le terze parti dipendenti AWS completano una formazione
coinvolte hanno ricevuto periodica sulla sicurezza delle informazioni
un'idonea formazione per la quale è richiesta conferma di
riguardo alle policy, agli completamento. Vengono effettuati controlli in
standard e alle procedure materia di conformità a cadenza periodica per
documentate? assicurarsi che i dipendenti comprendano e
seguano le policy definite. Per ulteriori
dettagli, consultare il whitepaper AWS Cloud
Security (Panoramica sulla sicurezza del
cloud AWS), disponibile all'indirizzo
http://aws.amazon.com/security.
AWS è stato convalidato e certificato da un
auditor indipendente per confermare la
Pagina 16Amazon Web Services – CAIQ (Consensus Assessments Initiative Questionnaire) della CSA
Gruppo di CID Domande sulla Risposta AWS
controllo valutazione del conformità alla certificazione ISO 27001.
consenso Inoltre nei rapporti AWS SOC 1 e SOC 2
vengono fornite ulteriori informazioni.
Sicurezza dei DCS-07.1 Si consente ai tenant di I clienti AWS indicano in quale regione fisica
data center specificare in quale delle saranno ubicati i propri dati. AWS non
Autorizzazione proprie aree geografiche sposterà i contenuti dei clienti dalle regioni
area protetta possono essere selezionate senza avvisare il cliente, a meno
spostati/estratti i loro dati che ciò non sia necessario in osservanza
(per rispondere a della legge o di richieste da parte di enti
considerazioni di ordine governativi. Le dodici regioni presenti al
giuridico basate sulla momento della stesura del presente
posizione di archiviazione documento sono le seguenti: Stati Uniti
dei dati rispetto al punto orientali (Virginia settentrionale), Stati Uniti
di accesso)? occidentali (Oregon), Stati Uniti occidentali
(California settentrionale), AWS GovCloud
(US) (Oregon), UE (Irlanda), UE (Francoforte),
Asia Pacifico (Seoul), Asia Pacifico
(Singapore), Asia Pacifico (Tokyo), Asia
Pacifico (Sydney), Cina (Pechino) e Sud
America (San Paolo).
Sicurezza dei DCS-08.1 I punti di ingresso e di L'accesso fisico viene rigorosamente
data center uscita, come le aree di controllato sia lungo il perimetro che presso i
Ingresso di servizio e altri punti in cui punti di ingresso dell'edificio e include, a titolo
persone non il personale non esemplificativo, il personale addetto alla
autorizzate autorizzato può accedere sicurezza che si avvale di sistemi di video
ai locali, sono monitorati, sorveglianza e di rilevamento dell'intrusione e
controllati e isolati dal di altri dispositivi elettronici. Il personale
processo e dallo storage autorizzato deve superare almeno due volte
dei dati? un controllo di autenticazione a due fattori per
accedere ai piani dei data center. I punti di
Sicurezza dei DCS-09.1 Viene limitato l'accesso
accesso fisico ai server vengono ripresi da un
data center fisico agli asset delle
sistema di videocamere a circuito chiuso
Accesso utente informazioni e alle
(CCTV) come previsto dalla policy sulla
funzioni da parte degli
sicurezza fisica dei data center AWS.
utenti e del personale di
supporto? I meccanismi di sicurezza fisica AWS (AWS
Physical Security Mechanisms) vengono
verificati da revisori esterni indipendenti
durante i controlli per la conformità con gli
standard SOC, PCI DSS, ISO 27001 e
FedRAMP.
Pagina 17Amazon Web Services – CAIQ (Consensus Assessments Initiative Questionnaire) della CSA
Gruppo di CID Domande sulla Risposta AWS
controllo
Crittografia e EKM- valutazione
Si dispone didel
policy per la AWS permette ai clienti di utilizzare i propri
gestione delle 01.1 consenso
gestione delle chiavi che meccanismi di crittografia per quasi tutti i
chiavi vincolano le chiavi a servizi, inclusi S3, EBS ed EC2. Anche le
Diritto titolari identificabili? sessioni VPC sono crittografate. I clienti,
inoltre, possono utilizzare AWS Key
Management Systems (KMS) per creare e
controllare le chiavi di crittografia (fare
riferimento a https://aws.amazon.com/kms/).
Internamente, AWS definisce e gestisce le
chiavi crittografiche per i processi di
crittografia richiesti all'interno dell'infrastruttura
AWS. Un sistema di gestione sicuro delle
chiavi e delle credenziali sviluppato da AWS
viene utilizzato per creare, proteggere e
distribuire chiavi simmetriche e per la
sicurezza e la distribuzione di credenziali
AWS richieste sugli host, chiavi
pubbliche/private RSA e certificazioni X.509.
I processi di crittografia AWS vengono
verificati da auditor indipendenti di terze parti
nell'ambito dell'impegno continuo di
conformità agli standard SOC, PCI DSS, ISO
27001 e FedRAMP.
Crittografia e EKM- È possibile consentire la AWS consente ai clienti di utilizzare i propri
gestione delle 02.1 creazione di chiavi di meccanismi di crittografia per quasi tutti i
chiavi crittografia univoche per servizi, inclusi S3, EBS ed EC2. I tunnel da
Generazione ciascun tenant? IPSec a VPC sono anch'essi crittografati. I
delle chiavi clienti, inoltre, possono utilizzare AWS Key
Management Systems (KMS) per creare e
EKM- Offrite la possibilità di controllare le chiavi di crittografia (fare
02.2 gestire le chiavi di riferimento a https://aws.amazon.com/kms/).
crittografia per conto dei Per maggiori dettagli su KMS fare riferimento
tenant? ai rapporti AWS SOC.
EKM- Vengono adottate Per ulteriori dettagli, consultare inoltre il
02.3 procedure di gestione whitepaper AWS Cloud Security (Panoramica
delle chiavi? sulla sicurezza del cloud AWS), disponibile
all'indirizzo http://aws.amazon.com/security.
EKM- Esiste una titolarità
02.4 documentata per ogni Internamente, AWS definisce e gestisce le
fase del ciclo di vita delle chiavi crittografiche per i processi di
chiavi di crittografia? crittografia richiesti all'interno dell'infrastruttura
AWS. AWS produce, controlla e distribuisce
EKM- Vengono utilizzati chiavi crittografiche simmetriche all'interno del
02.5 framework di terze sistema informatico AWS utilizzando la
parti/open tecnologia e i processi di gestione delle chiavi
source/proprietari per approvati dal NIST. Un sistema di gestione
gestire le chiavi di sicuro delle chiavi e delle credenziali
crittografia? sviluppato da AWS viene utilizzato per creare,
proteggere e distribuire chiavi simmetriche e
per la sicurezza e la distribuzione di
Pagina 18Amazon Web Services – CAIQ (Consensus Assessments Initiative Questionnaire) della CSA
Gruppo di CID Domande sulla Risposta AWS
controllo valutazione del credenziali AWS richieste sugli host, chiavi
consenso pubbliche/private RSA e certificazioni X.509.
I processi di crittografia AWS vengono
verificati da auditor indipendenti di terze parti
nell'ambito dell'impegno continuo di
conformità agli standard SOC, PCI DSS, ISO
27001 e FedRAMP.
Crittografia e EKM- I dati memorizzati (su AWS consente ai clienti di utilizzare i propri
gestione delle 03.1 disco/storage) vengono meccanismi di crittografia per quasi tutti i
chiavi crittografati all'interno del servizi, inclusi S3, EBS ed EC2. I tunnel da
Crittografia proprio ambiente? IPSec a VPC sono anch'essi crittografati. I
clienti, inoltre, possono utilizzare AWS Key
EKM- Si ricorre alla crittografia
Management Systems (KMS) per creare e
03.2 per proteggere i dati e le
controllare le chiavi di crittografia (fare
immagini delle macchine
riferimento a https://aws.amazon.com/kms/).
virtuali durante il trasporto
Per maggiori dettagli su KMS fare riferimento
attraverso e tra le reti e le
ai rapporti AWS SOC.
istanze hypervisor?
Per ulteriori dettagli, consultare inoltre il
whitepaper AWS Cloud Security (Panoramica
sulla sicurezza del cloud AWS), disponibile
all'indirizzo http://aws.amazon.com/security.
EKM- Le chiavi di crittografia
03.3 generate dai tenant sono
supportate o ai tenant
viene consentito di
crittografare i dati in
un'identità senza accesso
a un certificato a chiave
pubblica (ad esempio
crittografia basata su
identità)?
EKM- Si dispone di una
03.4 documentazione che
stabilisca e definisca le
policy, le procedure e le
linee guida per la
gestione della
crittografia?
Pagina 19Amazon Web Services – CAIQ (Consensus Assessments Initiative Questionnaire) della CSA
Gruppo di CID Domande sulla Risposta AWS
controllo
Crittografia e EKM- valutazione
Si dispone didel
una AWS consente ai clienti di utilizzare i propri
gestione delle 04.1 consenso
crittografia idonea per le meccanismi di crittografia per quasi tutti i
chiavi piattaforme e i dati che servizi, inclusi S3, EBS ed EC2. I clienti,
utilizzi formati inoltre, possono utilizzare AWS Key
Storage e
aperti/convalidati e Management Systems (KMS) per creare e
accesso
algoritmi standard? controllare le chiavi di crittografia (fare
riferimento a https://aws.amazon.com/kms/).
EKM- Le chiavi di crittografia
Per maggiori dettagli su KMS fare riferimento
04.2 sono gestite dal
ai rapporti AWS SOC.
consumatore di servizi
cloud o da un provider AWS stabilisce e gestisce le chiavi
affidabile di servizi di crittografiche per i processi di crittografia
gestione delle chiavi? impiegati all'interno dell'infrastruttura AWS.
AWS produce, controlla e distribuisce chiavi
EKM- Le chiavi di crittografia crittografiche simmetriche all'interno del
04.3 sono archiviate nel sistema informatico AWS utilizzando la
cloud? tecnologia e i processi di gestione delle chiavi
approvati dal NIST. Un sistema di gestione
EKM- Si dispone di compiti
sicuro delle chiavi e delle credenziali
04.4 distinti per la gestione
sviluppato da AWS viene utilizzato per creare,
delle chiavi e l'utilizzo
proteggere e distribuire chiavi simmetriche e
delle chiavi?
per la sicurezza e la distribuzione di
credenziali AWS richieste sugli host, chiavi
pubbliche/private RSA e certificazioni X.509.
I processi di crittografia AWS vengono
verificati da auditor indipendenti di terze parti
nell'ambito dell'impegno continuo di
conformità agli standard SOC, PCI DSS, ISO
27001 e FedRAMP.
Governance e GRM- Sono disponibili baseline In linea con gli standard ISO 27001, AWS
gestione del 01.1 documentate sulla gestisce baseline del sistema per i
rischio sicurezza delle componenti critici. Per ulteriori dettagli, fare
informazioni per ogni riferimento agli standard ISO 27001,
Requisiti
componente appendice A, domini 14 e 18. AWS è stato
baseline
dell'infrastruttura (ad convalidato e certificato da un revisore
esempio hypervisor, indipendente per confermare la conformità
sistemi operativi, router, allo standard di certificazione ISO 27001.
server DNS e così via)? I clienti possono fornire la propria immagine di
GRM- È possibile eseguire un macchina virtuale. VM Import consente ai
monitoraggio costante e clienti di importare facilmente le immagini
01.2
indicare la conformità della macchina virtuale dall'ambiente esistente
dell'infrastruttura in nelle istanze EC2 di Amazon.
relazione alle baseline di
sicurezza delle
informazioni?
GRM- Ai clienti è consentito
01.3 fornire la propria
immagine di macchina
virtuale collaudata, in
modo da garantire la
conformità ai propri
standard interni?
Pagina 20Puoi anche leggere
