Que sont les CIS contrôles ?Utilisation de ce framework Étapes suivantes Ressources supplémentaires

CISContrôles de sécurité critiques version 8.0, IG1

AWS Audit Manager fournit un cadre standard prédéfini qui prend en charge la version 8.0 de CIS Critical Security Controls, groupe d'implémentation 1.

Note

Pour plus d'informations sur la CIS version 7.1 IG1 et le AWS Audit Manager cadre qui prend en charge cette norme, voirCISControls v7.1, IG1.

Que sont les CIS contrôles ?

Les contrôles de sécurité CIS critiques (CIScontrôles) constituent un ensemble de mesures de protection prioritaires visant à atténuer les cyberattaques les plus courantes contre les systèmes et les réseaux. Ils sont mappés et référencés par de multiples frameworks juridiques, réglementaires et politiques. CISControls v8 a été amélioré pour suivre le rythme des systèmes et logiciels modernes. Le passage à l'informatique basée sur le cloud, la virtualisation, la mobilité work-from-home, l'externalisation et l'évolution des tactiques des attaquants ont motivé cette mise à jour. Cette mise à jour renforce la sécurité des entreprises lors de leur transition vers des environnements entièrement cloud et hybrides.

Différence entre les CIS contrôles et les CIS benchmarks

Les CIS Controls sont des directives de bonnes pratiques fondamentales qu'une organisation peut suivre pour se protéger contre les vecteurs de cyberattaques connus. Les CIS Benchmarks sont des directives relatives aux meilleures pratiques de sécurité spécifiques aux produits des fournisseurs. Qu’il s’agisse de systèmes d’exploitation, de services cloud ou d’appareils réseau, les paramètres appliqués à partir d’un benchmark protègent les systèmes utilisés.

Exemples

CISLes points de référence sont prescriptifs. Ils font généralement référence à un paramètre spécifique qui peut être revu et défini dans le produit du fournisseur.
- Exemple : CIS AWS Benchmark v1.2.0 - Assurez-vous MFA que le compte « utilisateur root » est activé
- Cette recommandation fournit des conseils prescriptifs sur la manière de vérifier cela et de le configurer sur le compte root pour le AWS environnement.
CISLes contrôles concernent l'ensemble de votre organisation et ne sont pas spécifiques à un seul produit fournisseur.
- Exemple : CIS v7.1 - Utiliser l'authentification multifactorielle pour tous les accès administratifs
- Ce contrôle décrit ce qui est censé être appliqué au sein de votre organisation. Cependant, il ne décrit pas comment vous devez l’appliquer aux systèmes et aux charges de travail que vous exécutez (quel que soit leur emplacement).

Utilisation de ce framework

Vous pouvez utiliser le IG1 framework CIS v8 pour vous aider à vous préparer aux audits. Ce framework comprend un ensemble prédéfini de contrôles avec des descriptions et des procédures de test. Ces commandes sont regroupées en ensembles de commandes en fonction des CIS besoins. Vous pouvez également personnaliser ce framework et ses contrôles pour prendre en charge les audits internes répondant à des exigences spécifiques.

En utilisant le framework comme point de départ, vous pouvez créer une évaluation Audit Manager et commencer à collecter des éléments probants pertinents pour votre audit. Après avoir créé une évaluation, Audit Manager commence à évaluer votre AWS ressources. Il le fait en fonction des contrôles définis dans le framework CIS v8. Au moment d’effectuer un audit, vous (ou le délégué de votre choix) pouvez examiner les preuves collectées par Audit Manager. Vous pouvez parcourir les dossiers de preuves dans votre évaluation et sélectionner les preuves que vous souhaitez inclure dans votre rapport d’évaluation. Ou, si vous avez activé l'outil de recherche de preuves, vous pouvez rechercher des preuves spécifiques et les exporter dans un CSV format, ou créer un rapport d'évaluation à partir des résultats de votre recherche. Dans tous les cas, vous pouvez utiliser ce rapport d’évaluation pour attester le bon fonctionnement de vos contrôles.

Les détails du framework sont les suivants :

Nom du framework dans AWS Audit Manager	Nombre de contrôles automatisés	Nombre de contrôles manuels	Nombre d’ensembles de contrôles
CISContrôles de sécurité critiques version 8.0 (CISv8.0), IG1	21	35	15

Astuce

Pour consulter le AWS Config règles utilisées comme mappages de sources de données dans ce framework standard, téléchargez le fichier .zip AuditManager_ ConfigDataSourceMappings _ CIS -v8.0- IG1.

Les contrôles de ce cadre ne sont pas destinés à vérifier si vos systèmes sont conformes aux CIS contrôles. De plus, ils ne peuvent pas garantir que vous passerez un CIS audit. AWS Audit Manager ne vérifie pas automatiquement les contrôles procéduraux qui nécessitent la collecte manuelle de preuves.

Vous pouvez trouver ce framework sous l'onglet Frameworks standard de la bibliothèque de frameworks dans Audit Manager.

Étapes suivantes

Pour des instructions sur la façon de créer une évaluation à l’aide de ce framework, consultez Création d'une évaluation dans AWS Audit Manager.

Pour obtenir des instructions sur la façon de personnaliser ce cadre afin de répondre à vos besoins spécifiques, consultezCréation d'une copie modifiable d'un framework existant dans AWS Audit Manager.

Ressources supplémentaires

CISControls v8

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

CISControls v7.1 IG1

Contrôles RAMP de base de la Fed Security R4