Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Meilleures pratiques opérationnelles pour les charges de travail standard ABS CCIG 2.0
Les packs de conformité fournissent un cadre de conformité à usage général conçu pour vous permettre de créer des contrôles de gouvernance en matière de sécurité, d'exploitation ou d'optimisation des coûts à l'aide de AWS Config règles gérées ou personnalisées et d'actions correctives. AWS Config Les packs de conformité, en tant que modèles d'exemples, ne sont pas conçus pour garantir pleinement la conformité à une norme de gouvernance ou de conformité spécifique. Il vous incombe de déterminer vous-même si votre utilisation des Services est conforme aux exigences légales et réglementaires applicables.
Vous trouverez ci-dessous un exemple de mappage entre le Guide de mise en œuvre du cloud computing ABS 2.0 - Standard Workloads et les règles de configuration AWS gérées. Chaque règle de configuration s'applique à une AWS ressource spécifique et concerne un ou plusieurs contrôles du guide d'implémentation de l'ABS Cloud Computing. Un contrôle du guide d'implémentation de l'ABS Cloud Computing peut être lié à plusieurs règles de configuration. Reportez-vous au tableau ci-dessous pour plus de détails et des conseils relatifs à ces mappages.
| ID de contrôle | AWSRègle de configuration | Orientations |
|---|---|---|
| section 4 -2 charges de travail standard a-govern-the-cloud | La gestion centralisée des AWS comptes au sein AWS des Organizations permet de garantir la conformité des comptes. L'absence de gouvernance centralisée des comptes peut entraîner des configurations de comptes incohérentes, ce qui peut exposer des ressources et des données sensibles. | |
| section 4 -2 charges de travail standard a-govern-the-cloud | La collecte d'événements de données Simple Storage Service (Amazon S3) permet de détecter toute activité anormale. Les détails incluent les informations du AWS compte qui a accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement. | |
| section 4 -2 charges de travail standard a-govern-the-cloud | Cette règle permet de garantir l'utilisation des meilleures pratiques de sécurité AWS recommandées pour AWS CloudTrail, en vérifiant l'activation de plusieurs paramètres. Il s'agit notamment de l'utilisation du chiffrement des journaux, de la validation des journaux et de AWS CloudTrail l'activation dans plusieurs régions. | |
| section 4 -2 charges de travail standard a-govern-the-cloud | Amazon CloudWatch émet une alerte lorsqu'une métrique dépasse le seuil pour un certain nombre de périodes d'évaluation. Elle réalise une ou plusieurs actions en fonction de la valeur de la métrique ou de l'expression par rapport à un seuil sur un certain nombre de périodes. Cette règle nécessite une valeur pour alarmActionRequired (Config Default : True), insufficientDataAction Required (Config Default : True), okActionRequired (Config Default : False). La valeur réelle doit refléter les actions d'alarme de votre environnement. | |
| section 4 -2 charges de travail standard a-govern-the-cloud | Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des détails sur l'activité des appels d'API dans votre AWS compte. | |
| section 4 -2 charges de travail standard a-govern-the-cloud | Un inventaire des plateformes logicielles et des applications au sein de l'organisation est possible en gérant les instances Amazon Elastic Compute Cloud (Amazon EC2) avec Systems AWS Manager. Utilisez AWS Systems Manager pour fournir des configurations système détaillées, les niveaux de correctif du système d'exploitation, le nom et le type de service, les installations logicielles, le nom, l'éditeur et la version de l'application, ainsi que d'autres informations sur votre environnement. | |
| section 4 -2 charges de travail standard a-govern-the-cloud | Amazon GuardDuty peut aider à surveiller et à détecter les événements de cybersécurité potentiels en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
| section 4 -2 charges de travail standard a-govern-the-cloud | AWSSecurity Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que les solutions partenaires. AWS | |
| section 4 -3 - charges de travail standard a-govern-the-cloud | Un inventaire des plateformes logicielles et des applications au sein de l'organisation est possible en gérant les instances Amazon Elastic Compute Cloud (Amazon EC2) avec Systems AWS Manager. Utilisez AWS Systems Manager pour fournir des configurations système détaillées, les niveaux de correctif du système d'exploitation, le nom et le type de service, les installations logicielles, le nom, l'éditeur et la version de l'application, ainsi que d'autres informations sur votre environnement. | |
| section 4 -3 - charges de travail standard a-govern-the-cloud | Activez cette règle pour faciliter la configuration de base des instances Amazon Elastic Compute Cloud (Amazon EC2) en vérifiant si les instances Amazon EC2 ont été arrêtées pendant plus de jours que le nombre de jours autorisé, conformément aux normes de votre organisation. | |
| section 4 -3 - charges de travail standard a-govern-the-cloud | Cette règle garantit que les volumes Amazon Elastic Block Store attachés aux instances Amazon Elastic Compute Cloud (Amazon EC2) sont marqués pour suppression lorsqu'une instance est résiliée. Si un volume Amazon EBS n'est pas supprimé lorsque l'instance à laquelle il est attaché est résiliée, cela peut enfreindre le concept de moindre fonctionnalité. | |
| section 4 -3 - charges de travail standard a-govern-the-cloud | Cette règle garantit que les adresses IP élastiques allouées à un Amazon Virtual Private Cloud (Amazon VPC) sont associées aux instances Amazon Elastic Compute Cloud (Amazon EC2) ou aux interfaces réseau Elastic en cours d'utilisation. Cette règle permet de surveiller les EIP non utilisés dans votre environnement. | |
| section 4 -3 - charges de travail standard a-govern-the-cloud | Cette règle garantit que les listes de contrôle d'accès au réseau Amazon Virtual Private Cloud (VPC) sont utilisées. La surveillance des listes de contrôle d'accès réseau non utilisées peut contribuer à un inventaire et à une gestion précis de votre environnement. | |
| section 4 - les charges de travail standard du cloud 1 b-design-and-secure | Si vous configurez vos interfaces réseau avec une adresse IP publique, les ressources associées à ces interfaces réseau sont accessibles depuis Internet. Les ressources EC2 ne doivent pas être accessibles au public, car cela peut permettre un accès involontaire à vos applications ou à vos serveurs. | |
| section 4 - les charges de travail standard du cloud 1 b-design-and-secure | Gérez l'accès au AWS cloud en vous assurant que les instances de réplication DMS ne sont pas accessibles au public. Les instances de réplication DMS peuvent contenir des informations sensibles et un contrôle d'accès est requis pour ces comptes. | |
| section 4 - les charges de travail standard du cloud 1 b-design-and-secure | Gérez l'accès au AWS cloud en vous assurant que les instantanés EBS ne sont pas restaurables publiquement. Les instantanés des volumes EBS peuvent contenir des informations sensibles et un contrôle d'accès est requis pour ces comptes. | |
| section 4 - les charges de travail standard du cloud 1 b-design-and-secure | Gérez l'accès au AWS cloud en vous assurant que les instances Amazon Elastic Compute Cloud (Amazon EC2) ne sont pas accessibles au public. Les instances Amazon EC2 peuvent contenir des informations sensibles et un contrôle d'accès est requis pour ces comptes. | |
| section 4 - les charges de travail standard du cloud 1 b-design-and-secure | Les profils d'instance EC2 transmettent un rôle IAM à une instance EC2. Associer un profil d'instance à vos instances peut vous aider à gérer le moins de privilèges et d'autorisations. | |
| section 4 - les charges de travail standard du cloud 1 b-design-and-secure | Si une définition de tâche possède des privilèges élevés, c'est parce que le client a spécifiquement opté pour ces configurations. Ce contrôle vérifie l'absence d'augmentation inattendue des privilèges lorsqu'une définition de tâche a activé le réseau hôte mais que le client n'a pas opté pour l'augmentation des privilèges. | |
| section 4 - les charges de travail standard du cloud 1 b-design-and-secure | Les autorisations et autorisations d'accès peuvent être gérées et intégrées selon les principes du moindre privilège et de la séparation des tâches, en activant Kerberos pour les clusters Amazon EMR. Dans Kerberos, les services et les utilisateurs qui doivent s'authentifier sont appelés principaux. Les principes existent au sein d'un domaine Kerberos. Dans le domaine, un serveur Kerberos est connu sous le nom de centre de distribution de clés (KDC). Il fournit aux donneurs d'ordre un moyen de s'authentifier. Le KDC s'authentifie en émettant des tickets d'authentification. Il gère une base de données des principaux au sein de son domaine, leurs mots de passe, ainsi que d'autres informations administratives sur chaque principal. | |
| section 4 - les charges de travail standard du cloud 1 b-design-and-secure | Gérez l'accès au AWS cloud en vous assurant que les nœuds maîtres du cluster Amazon EMR ne sont pas accessibles au public. Les nœuds maîtres du cluster Amazon EMR peuvent contenir des informations sensibles et un contrôle d'accès est requis pour ces comptes. | |
| section 4 - les charges de travail standard du cloud 1 b-design-and-secure | AWSIdentity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en empêchant les politiques de contenir des actions bloquées sur toutes les AWS clés du Key Management Service. Le fait d'avoir plus de privilèges que ce qui est nécessaire pour accomplir une tâche peut violer le principe du moindre privilège et de la séparation des tâches. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécurité AWS fondamentales : KMS:Decrypt, kms :). ReEncryptFrom Les valeurs réelles doivent refléter les politiques de votre organisation | |
| section 4 - les charges de travail standard du cloud 1 b-design-and-secure | AWSIdentity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en garantissant que les groupes IAM comptent au moins un utilisateur. Placer les utilisateurs dans des groupes en fonction des autorisations ou des fonctions qui leur sont associées est un moyen d'intégrer le moindre privilège. | |
| section 4 - les charges de travail standard du cloud 1 b-design-and-secure | Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM (AWSIdentity and Access Management) ne dispose pas d'une politique intégrée autorisant le blocage d'actions sur toutes les clés du service de gestion des clés. AWS AWSrecommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisabilité, le versionnement, l'annulation et la délégation de la gestion des autorisations. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécurité AWS fondamentales : KMS:Decrypt, kms :). ReEncryptFrom Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| section 4 - les charges de travail standard du cloud 1 b-design-and-secure | Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM (AWSIdentity and Access Management) ne dispose pas d'une politique intégrée pour contrôler l'accès aux systèmes et aux actifs. AWSrecommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, le versionnement et le retour en arrière, ainsi que la délégation de la gestion des autorisations. | |
| section 4 - les charges de travail standard du cloud 1 b-design-and-secure | Les identités et les informations d'identification sont émises, gérées et vérifiées sur la base d'une politique de mot de passe IAM organisationnelle. Ils respectent ou dépassent les exigences énoncées par le NIST SP 800-63 et par la norme AWS Foundational Security Best Practices en matière de robustesse des mots de passe. Cette règle vous permet de définir éventuellement RequireUppercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireLowercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireSymbols (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireNumbers (valeur des meilleures pratiques de sécurité de AWS base : vrai), MinimumPasswordLength (valeur des meilleures pratiques de sécurité de AWS base : 14), PasswordReusePrevention (valeur des meilleures pratiques de sécurité de AWS base : 24) et MaxPasswordAge (valeur des meilleures pratiques de sécurité de AWS base : 90) pour votre Politique de mot de passe IAM. Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| section 4 - les charges de travail standard du cloud 1 b-design-and-secure | AWSIdentity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Le fait d'autoriser les utilisateurs à disposer de plus de privilèges que ce qui est nécessaire pour effectuer une tâche peut violer le principe du moindre privilège et de la séparation des tâches. | |
| section 4 - les charges de travail standard du cloud 1 b-design-and-secure | Assurez-vous que les actions IAM sont limitées aux seules actions nécessaires. Le fait d'autoriser les utilisateurs à disposer de plus de privilèges que ce qui est nécessaire pour effectuer une tâche peut violer le principe du moindre privilège et de la séparation des tâches. | |
| section 4 - les charges de travail standard du cloud 1 b-design-and-secure | L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root sont supprimées. Créez et utilisez plutôt des AWS comptes basés sur les rôles pour intégrer le principe de moindre fonctionnalité. | |
| section 4 - les charges de travail standard du cloud 1 b-design-and-secure | AWSIdentity and Access Management (IAM) peut vous aider à restreindre les autorisations et autorisations d'accès en vous assurant que les utilisateurs sont membres d'au moins un groupe. Accorder aux utilisateurs plus de privilèges que ce qui est nécessaire pour effectuer une tâche peut violer le principe du moindre privilège et de la séparation des tâches. | |
| section 4 - les charges de travail standard du cloud 1 b-design-and-secure | Activez cette règle pour restreindre l'accès aux ressources dans le AWS cloud. Cette règle garantit que l'authentification multifactorielle (MFA) est activée pour tous les utilisateurs. L'authentification MFA ajoute une couche de sécurité supplémentaire, en plus d'un nom d'utilisateur et d'un mot de passe. Réduisez le nombre d'incidents liés à la compromission de comptes en exigeant l'authentification MFA pour les utilisateurs. | |
| section 4 - les charges de travail standard du cloud 1 b-design-and-secure | Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les chances qu'une identité reçoive ou conserve des privilèges excessifs. | |
| section 4 - les charges de travail standard du cloud 1 b-design-and-secure | AWSIdentity and Access Management (IAM) peut vous aider à obtenir des autorisations et des autorisations d'accès en vérifiant les mots de passe et les clés d'accès IAM qui ne sont pas utilisés pendant une période donnée. Si ces informations d'identification non utilisées sont identifiées, vous devez les désactiver et/ou les supprimer, car cela pourrait violer le principe du moindre privilège. Cette règle vous oblige à définir une valeur sur maxCredentialUsage Age (Config Default : 90). La valeur réelle doit refléter les politiques de votre organisation. | |
| section 4 - les charges de travail standard du cloud 1 b-design-and-secure | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent aider à gérer l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS Le fait de ne pas autoriser le trafic entrant (ou distant) entre 0.0.0.0/0 et le port 22 sur vos ressources vous permet de restreindre l'accès à distance. | |
| section 4 - les charges de travail standard du cloud 1 b-design-and-secure | Déployez des instances Amazon Elastic Compute Cloud (Amazon EC2) au sein d'un Amazon Virtual Private Cloud (Amazon VPC) pour permettre une communication sécurisée entre une instance et d'autres services au sein d'Amazon VPC, sans passer par une passerelle Internet, un appareil NAT ou une connexion VPN. Tout le trafic reste en toute sécurité dans le cloud AWS. En raison de leur isolation logique, les domaines résidant au sein d'un Amazon VPC disposent d'une couche de sécurité supplémentaire par rapport aux domaines utilisant des points de terminaison publics. Attribuez des instances Amazon EC2 à un Amazon VPC pour gérer correctement l'accès. | |
| section 4 - les charges de travail standard du cloud 1 b-design-and-secure | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les passerelles Internet ne sont connectées qu'à Amazon Virtual Private Cloud (Amazon VPC) autorisé. Les passerelles Internet permettent un accès bidirectionnel à Internet depuis et vers Amazon VPC, ce qui peut potentiellement conduire à un accès non autorisé aux ressources Amazon VPC. | |
| section 4 - les charges de travail standard du cloud 1 b-design-and-secure | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les fonctions AWS Lambda ne sont pas accessibles au public. L'accès public peut potentiellement entraîner une dégradation de la disponibilité des ressources. | |
| section 4 - les charges de travail standard du cloud 1 b-design-and-secure | Déployez des fonctions AWS Lambda au sein d'un Amazon Virtual Private Cloud (Amazon VPC) pour une communication sécurisée entre une fonction et les autres services au sein d'Amazon VPC. Avec cette configuration, il n'est pas nécessaire de disposer d'une passerelle Internet, d'un périphérique NAT ou d'une connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolation logique, les domaines résidant au sein d'un Amazon VPC disposent d'une couche de sécurité supplémentaire par rapport aux domaines utilisant des points de terminaison publics. Pour gérer correctement l'accès, les fonctions AWS Lambda doivent être attribuées à un VPC. | |
| section 4 - les charges de travail standard du cloud 1 b-design-and-secure | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour tous les utilisateurs AWS d'Identity and Access Management (IAM) dotés d'un mot de passe de console. La MFA ajoute une couche de protection supplémentaire en plus des informations de connexion. En exigeant la MFA pour les utilisateurs, vous pouvez réduire les incidents liés à des comptes compromis et empêcher les utilisateurs non autorisés d'accéder aux données sensibles. | |
| section 4 - les charges de travail standard du cloud 1 b-design-and-secure | Assurez-vous que les tables de routage Amazon EC2 ne disposent pas de routes illimitées vers une passerelle Internet. La suppression ou la limitation de l'accès à Internet pour les charges de travail au sein d'Amazon VPC peut réduire les accès involontaires au sein de votre environnement. | |
| section 4 - les charges de travail standard du cloud 1 b-design-and-secure | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, et des principes et un contrôle d'accès sont requis pour ces comptes. | |
| section 4 - les charges de travail standard du cloud 1 b-design-and-secure | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations et des principes sensibles et un contrôle d'accès est requis pour ces comptes. | |
| section 4 - les charges de travail standard du cloud 1 b-design-and-secure | Le routage VPC amélioré force tout le trafic COPY et UNLOAD entre le cluster et les référentiels de données à passer par votre Amazon VPC. Vous pouvez ensuite utiliser les fonctionnalités VPC telles que les groupes de sécurité et les listes de contrôle d'accès réseau pour sécuriser le trafic réseau. Vous pouvez également utiliser les journaux de flux VPC pour surveiller le trafic réseau. | |
| section 4 - les charges de travail standard du cloud 1 b-design-and-secure | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas restreindre l'accès aux ports à des sources fiables peut mener à des attaques contre la disponibilité, l'intégrité et la confidentialité des systèmes. Cette règle vous permet de définir éventuellement les paramètres BlockedPort1 - BlockedPort5 (Config Defaults : 20,21,3389,3306,4333). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| section 4 - les charges de travail standard du cloud 1 b-design-and-secure | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le matériel MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur le plus privilégié d'un AWS compte. Le MFA ajoute une couche de protection supplémentaire pour les informations de connexion. En exigeant le MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents liés à des comptes compromis. AWS | |
| section 4 - les charges de travail standard du cloud 1 b-design-and-secure | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur le plus privilégié d'un AWS compte. Le MFA ajoute une couche de protection supplémentaire pour le nom d'utilisateur et le mot de passe. En exigeant le MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents liés à des comptes compromis. AWS | |
| section 4 - les charges de travail standard du cloud 1 b-design-and-secure | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès du public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| section 4 - les charges de travail standard du cloud 1 b-design-and-secure | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion de l'accès doit être cohérente avec la classification des données. | |
| section 4 - les charges de travail standard du cloud 1 b-design-and-secure | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion de l'accès doit être cohérente avec la classification des données. | |
| section 4 - les charges de travail standard du cloud 1 b-design-and-secure | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les SageMaker ordinateurs portables Amazon ne permettent pas un accès direct à Internet. En empêchant l'accès direct à Internet, vous pouvez empêcher les utilisateurs non autorisés d'accéder à des données sensibles. | |
| section 4 - les charges de travail standard du cloud 1 b-design-and-secure | Assurez-vous que AWS les documents de Systems Manager (SSM) ne sont pas publics, car cela peut permettre un accès involontaire à vos documents SSM. Un document SSM public peut exposer des informations sur votre compte, vos ressources et vos processus internes. | |
| section 4 - les charges de travail standard du cloud 1 b-design-and-secure | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent contribuer à la gestion de l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS La restriction de l'ensemble du trafic sur le groupe de sécurité par défaut permet de restreindre l'accès à distance à vos AWS ressources. | |
| section 4 - les charges de travail standard du cloud 1 b-design-and-secure | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas restreindre l'accès des ports à des sources fiables peut mener à des attaques contre la disponibilité, l'intégrité et la confidentialité des systèmes. En restreignant l'accès aux ressources d'un groupe de sécurité depuis Internet (0.0.0.0/0), l'accès à distance aux systèmes internes peut être contrôlé. | |
| section 4 - les charges de travail standard du cloud 1 b-design-and-secure | Pour faciliter la mise en œuvre du principe du moindre privilège, les définitions de tâches Amazon Elastic Container Service (Amazon ECS) ne doivent pas avoir de privilèges élevés activés. Quand ce paramètre a la valeur true, le conteneur dispose de droits élevés sur l'instance de conteneur hôte (similaire à l'utilisateur racine). | |
| section 4 - les charges de travail standard du cloud 1 b-design-and-secure | L'activation de l'accès en lecture seule aux conteneurs Amazon Elastic Container Service (ECS) peut aider à respecter le principe du moindre privilège. Cette option permet de réduire les vecteurs d'attaque car le système de fichiers de l'instance de conteneur ne peut pas être modifié à moins qu'il ne dispose d'autorisations de lecture-écriture explicites. | |
| section 4 - les charges de travail standard du cloud 1 b-design-and-secure | Assurez-vous que le contrôle d'accès détaillé est activé sur vos domaines Amazon OpenSearch Service. Le contrôle d'accès précis fournit des mécanismes d'autorisation améliorés pour obtenir un accès moins privilégié aux domaines Amazon Service. OpenSearch Il permet un contrôle d'accès au domaine basé sur les rôles, ainsi que la sécurité au niveau des index, des documents et des champs, la prise en charge des tableaux de bord de OpenSearch service, la mutualisation des tableaux de bord des services et l'authentification HTTP de base pour Service et Kibana. OpenSearch | |
| section 4 - les charges de travail standard du cloud 1 b-design-and-secure | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public au niveau du bucket. | |
| section 4 - les charges de travail standard du cloud 1 b-design-and-secure | Gérez l'accès au AWS cloud en vous assurant qu'aucune adresse IP publique n'est automatiquement attribuée aux sous-réseaux Amazon Virtual Private Cloud (VPC). Les instances Amazon Elastic Compute Cloud (EC2) lancées dans des sous-réseaux pour lesquels cet attribut est activé disposent d'une adresse IP publique attribuée à leur interface réseau principale. | |
| section 4 b-design-and-secure : les charges de travail standard du cloud | Cette règle permet de garantir l'utilisation des meilleures pratiques de sécurité AWS recommandées pour AWS CloudTrail, en vérifiant l'activation de plusieurs paramètres. Il s'agit notamment de l'utilisation du chiffrement des journaux, de la validation des journaux et de AWS CloudTrail l'activation dans plusieurs régions. | |
| section 4 b-design-and-secure : les charges de travail standard du cloud | Un inventaire des plateformes logicielles et des applications au sein de l'organisation est possible en gérant les instances Amazon Elastic Compute Cloud (Amazon EC2) avec Systems AWS Manager. Utilisez AWS Systems Manager pour fournir des configurations système détaillées, les niveaux de correctif du système d'exploitation, le nom et le type de service, les installations logicielles, le nom, l'éditeur et la version de l'application, ainsi que d'autres informations sur votre environnement. | |
| section 4 b-design-and-secure : les charges de travail standard du cloud | Utilisez AWS les associations de Systems Manager pour vous aider à inventorier les plateformes logicielles et les applications au sein d'une organisation. AWS Systems Manager attribue un état de configuration à vos instances gérées et vous permet de définir des niveaux de référence pour les niveaux de correctifs du système d'exploitation, les installations de logiciels, les configurations d'applications et d'autres informations relatives à votre environnement. | |
| section 4 b-design-and-secure : les charges de travail standard du cloud | Activez cette règle pour faciliter l'identification et la documentation des vulnérabilités liées à Amazon Elastic Compute Cloud (Amazon EC2). La règle vérifie si les correctifs d'instance Amazon EC2 sont conformes dans AWS Systems Manager conformément aux politiques et procédures de votre entreprise. | |
| section 4 b-design-and-secure : les charges de travail standard du cloud | Cette règle garantit que les clusters Amazon Redshift disposent des paramètres préférés pour votre organisation. Plus précisément, qu'ils ont des fenêtres de maintenance préférées et des périodes de conservation des instantanés automatisées pour la base de données. Cette règle vous oblige à définir le allowVersionUpgrade. Par défaut, la valeur est true. Il vous permet également de définir éventuellement le preferredMaintenanceWindow (la valeur par défaut est samedi : 16h00 - samedi : 16h30) et la automatedSnapshotRetention période (la valeur par défaut est 1). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| section 4 b-design-and-secure : les charges de travail standard du cloud | Les tests de santé Elastic Load Balancer (ELB) pour les groupes Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling permettent de maintenir une capacité et une disponibilité adéquates. L'équilibreur de charge envoie régulièrement des pings, tente de se connecter ou envoie des demandes pour tester l'état des instances Amazon EC2 dans un groupe d'auto-scaling. Si une instance ne produit pas de rapport, le trafic est envoyé vers une nouvelle instance Amazon EC2. | |
| section 4 b-design-and-secure : les charges de travail standard du cloud | Amazon DynamoDB Auto Scaling AWS utilise le service Application Auto Scaling pour ajuster la capacité de débit allouée afin qu'elle réponde automatiquement aux modèles de trafic réels. Cela permet à une table ou à un index secondaire global d'augmenter sa capacité de lecture/écriture allouée afin de gérer les augmentations soudaines du trafic, sans limitation. | |
| section 4 b-design-and-secure : les charges de travail standard du cloud | Activez cette règle pour améliorer la surveillance des instances Amazon Elastic Compute Cloud (Amazon EC2) sur la console Amazon EC2, qui affiche des graphiques de surveillance avec une période d'une minute pour l'instance. | |
| section 4 b-design-and-secure : les charges de travail standard du cloud | Activez l'équilibrage de charge entre zones pour vos équilibreurs de charge élastiques (ELB) afin de maintenir une capacité et une disponibilité adéquates. L'équilibrage de charge entre zones réduit le besoin de maintenir un nombre équivalent d'instances dans chaque zone de disponibilité activée. Cela améliore également la capacité de votre application à gérer la perte d'une ou de plusieurs instances. | |
| section 4 b-design-and-secure : les charges de travail standard du cloud | Cette règle garantit que la protection contre les suppressions est activée dans Elastic Load Balancing. Utilisez cette fonctionnalité pour empêcher la suppression accidentelle ou malveillante de votre équilibreur de charge, ce qui pourrait entraîner une perte de disponibilité pour vos applications. | |
| section 4 b-design-and-secure : les charges de travail standard du cloud | Activez Amazon Relational Database Service (Amazon RDS) pour surveiller la disponibilité d'Amazon RDS. Cela fournit une visibilité détaillée sur l'état de vos instances de base de données Amazon RDS. Lorsque le stockage Amazon RDS utilise plusieurs appareils physiques sous-jacents, Enhanced Monitoring collecte les données pour chaque appareil. En outre, lorsque l'instance de base de données Amazon RDS est exécutée dans le cadre d'un déploiement multi-AZ, les données de chaque appareil sur l'hôte secondaire sont collectées, ainsi que les métriques de l'hôte secondaire. | |
| section 4 b-design-and-secure : les charges de travail standard du cloud | Le support multi-AZ dans Amazon Relational Database Service (Amazon RDS) améliore la disponibilité et la durabilité des instances de base de données. Lorsque vous provisionnez une instance de base de données multi-AZ, Amazon RDS crée automatiquement une instance de base de données principale et réplique les données de manière synchrone sur une instance de secours située dans une autre zone de disponibilité. Chaque zone de disponibilité fonctionne sur sa propre infrastructure physiquement distincte et indépendante, et est conçue pour être extrêmement fiable. En cas de défaillance de l'infrastructure, Amazon RDS effectue un basculement automatique vers le mode veille afin que vous puissiez reprendre les opérations de base de données dès que le basculement est terminé. | |
| section 4 b-design-and-secure : les charges de travail standard du cloud | AWSLes rapports de santé améliorés d'Elastic Beanstalk permettent de réagir plus rapidement aux modifications de l'état de santé de l'infrastructure sous-jacente. Ces modifications peuvent entraîner un manque de disponibilité de l'application. Les rapports de santé améliorés d'Elastic Beanstalk fournissent un descripteur de statut permettant d'évaluer la gravité des problèmes identifiés et d'identifier les causes possibles à étudier. | |
| section 4 - les 4 charges de travail standard du cloud b-design-and-secure | Assurez-vous que AWS le WAF est activé sur les Elastic Load Balancers (ELB) pour protéger les applications Web. Un WAF permet de protéger vos applications Web ou vos API contre les exploits Web courants. Ces exploits Web peuvent affecter la disponibilité, compromettre la sécurité ou consommer des ressources excessives au sein de votre environnement. | |
| section 4 - les 4 charges de travail standard du cloud b-design-and-secure | AWSLe WAF vous permet de configurer un ensemble de règles (appelé liste de contrôle d'accès Web (ACL Web)) qui autorisent, bloquent ou comptent les requêtes Web en fonction de règles et de conditions de sécurité Web personnalisables que vous définissez. Assurez-vous que votre stage Amazon API Gateway est associé à une ACL Web WAF pour le protéger des attaques malveillantes | |
| section 4 - les 4 charges de travail standard du cloud b-design-and-secure | Si vous configurez vos interfaces réseau avec une adresse IP publique, les ressources associées à ces interfaces réseau sont accessibles depuis Internet. Les ressources EC2 ne doivent pas être accessibles au public, car cela peut permettre un accès involontaire à vos applications ou à vos serveurs. | |
| section 4 - les 4 charges de travail standard du cloud b-design-and-secure | Gérez l'accès au AWS cloud en vous assurant que les instances Amazon Elastic Compute Cloud (Amazon EC2) ne sont pas accessibles au public. Les instances Amazon EC2 peuvent contenir des informations sensibles et un contrôle d'accès est requis pour ces comptes. | |
| section 4 - les 4 charges de travail standard du cloud b-design-and-secure | Les profils d'instance EC2 transmettent un rôle IAM à une instance EC2. Associer un profil d'instance à vos instances peut vous aider à gérer le moins de privilèges et d'autorisations. | |
| section 4 - les 4 charges de travail standard du cloud b-design-and-secure | Si une définition de tâche possède des privilèges élevés, c'est parce que le client a spécifiquement opté pour ces configurations. Ce contrôle vérifie l'absence d'augmentation inattendue des privilèges lorsqu'une définition de tâche a activé le réseau hôte mais que le client n'a pas opté pour l'augmentation des privilèges. | |
| section 4 - les 4 charges de travail standard du cloud b-design-and-secure | Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch OpenSearch Service (Service) se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine de OpenSearch service au sein d'un Amazon VPC permet une communication sécurisée entre le OpenSearch service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN. | |
| section 4 - les 4 charges de travail standard du cloud b-design-and-secure | Les autorisations et autorisations d'accès peuvent être gérées et intégrées selon les principes du moindre privilège et de la séparation des tâches, en activant Kerberos pour les clusters Amazon EMR. Dans Kerberos, les services et les utilisateurs qui doivent s'authentifier sont appelés principaux. Les principes existent au sein d'un domaine Kerberos. Dans le domaine, un serveur Kerberos est connu sous le nom de centre de distribution de clés (KDC). Il fournit aux donneurs d'ordre un moyen de s'authentifier. Le KDC s'authentifie en émettant des tickets d'authentification. Il gère une base de données des principaux au sein de son domaine, leurs mots de passe, ainsi que d'autres informations administratives sur chaque principal. | |
| section 4 - les 4 charges de travail standard du cloud b-design-and-secure | Gérez l'accès au AWS cloud en vous assurant que les nœuds maîtres du cluster Amazon EMR ne sont pas accessibles au public. Les nœuds maîtres du cluster Amazon EMR peuvent contenir des informations sensibles et un contrôle d'accès est requis pour ces comptes. | |
| section 4 - les 4 charges de travail standard du cloud b-design-and-secure | Amazon GuardDuty peut aider à surveiller et à détecter les événements de cybersécurité potentiels en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
| section 4 - les 4 charges de travail standard du cloud b-design-and-secure | AWSIdentity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en empêchant les politiques de contenir des actions bloquées sur toutes les AWS clés du Key Management Service. Le fait d'avoir plus de privilèges que ce qui est nécessaire pour accomplir une tâche peut violer le principe du moindre privilège et de la séparation des tâches. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécurité AWS fondamentales : KMS:Decrypt, kms :). ReEncryptFrom Les valeurs réelles doivent refléter les politiques de votre organisation | |
| section 4 - les 4 charges de travail standard du cloud b-design-and-secure | AWSIdentity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en garantissant que les groupes IAM comptent au moins un utilisateur. Placer les utilisateurs dans des groupes en fonction des autorisations ou des fonctions qui leur sont associées est un moyen d'intégrer le moindre privilège. | |
| section 4 - les 4 charges de travail standard du cloud b-design-and-secure | Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM (AWSIdentity and Access Management) ne dispose pas d'une politique intégrée autorisant le blocage d'actions sur toutes les clés du service de gestion des clés. AWS AWSrecommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisabilité, le versionnement, l'annulation et la délégation de la gestion des autorisations. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécurité AWS fondamentales : KMS:Decrypt, kms :). ReEncryptFrom Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| section 4 - les 4 charges de travail standard du cloud b-design-and-secure | Les identités et les informations d'identification sont émises, gérées et vérifiées sur la base d'une politique de mot de passe IAM organisationnelle. Ils respectent ou dépassent les exigences énoncées par le NIST SP 800-63 et par la norme AWS Foundational Security Best Practices en matière de robustesse des mots de passe. Cette règle vous permet de définir éventuellement RequireUppercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireLowercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireSymbols (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireNumbers (valeur des meilleures pratiques de sécurité de AWS base : vrai), MinimumPasswordLength (valeur des meilleures pratiques de sécurité de AWS base : 14), PasswordReusePrevention (valeur des meilleures pratiques de sécurité de AWS base : 24) et MaxPasswordAge (valeur des meilleures pratiques de sécurité de AWS base : 90) pour votre Politique de mot de passe IAM. Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| section 4 - les 4 charges de travail standard du cloud b-design-and-secure | AWSIdentity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Le fait d'autoriser les utilisateurs à disposer de plus de privilèges que ce qui est nécessaire pour effectuer une tâche peut violer le principe du moindre privilège et de la séparation des tâches. | |
| section 4 - les 4 charges de travail standard du cloud b-design-and-secure | Assurez-vous que les actions IAM sont limitées aux seules actions nécessaires. Le fait d'autoriser les utilisateurs à disposer de plus de privilèges que ce qui est nécessaire pour effectuer une tâche peut violer le principe du moindre privilège et de la séparation des tâches. | |
| section 4 - les 4 charges de travail standard du cloud b-design-and-secure | L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root sont supprimées. Créez et utilisez plutôt des AWS comptes basés sur les rôles pour intégrer le principe de moindre fonctionnalité. | |
| section 4 - les 4 charges de travail standard du cloud b-design-and-secure | AWSIdentity and Access Management (IAM) peut vous aider à restreindre les autorisations et autorisations d'accès en vous assurant que les utilisateurs sont membres d'au moins un groupe. Accorder aux utilisateurs plus de privilèges que ce qui est nécessaire pour effectuer une tâche peut violer le principe du moindre privilège et de la séparation des tâches. | |
| section 4 - les 4 charges de travail standard du cloud b-design-and-secure | Activez cette règle pour restreindre l'accès aux ressources dans le AWS cloud. Cette règle garantit que l'authentification multifactorielle (MFA) est activée pour tous les utilisateurs. L'authentification MFA ajoute une couche de sécurité supplémentaire, en plus d'un nom d'utilisateur et d'un mot de passe. Réduisez le nombre d'incidents liés à la compromission de comptes en exigeant l'authentification MFA pour les utilisateurs. | |
| section 4 - les 4 charges de travail standard du cloud b-design-and-secure | Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les chances qu'une identité reçoive ou conserve des privilèges excessifs. | |
| section 4 - les 4 charges de travail standard du cloud b-design-and-secure | AWSIdentity and Access Management (IAM) peut vous aider à obtenir des autorisations et des autorisations d'accès en vérifiant les mots de passe et les clés d'accès IAM qui ne sont pas utilisés pendant une période donnée. Si ces informations d'identification non utilisées sont identifiées, vous devez les désactiver et/ou les supprimer, car cela pourrait violer le principe du moindre privilège. Cette règle vous oblige à définir une valeur sur maxCredentialUsage Age (Config Default : 90). La valeur réelle doit refléter les politiques de votre organisation. | |
| section 4 - les 4 charges de travail standard du cloud b-design-and-secure | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent aider à gérer l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS Le fait de ne pas autoriser le trafic entrant (ou distant) entre 0.0.0.0/0 et le port 22 sur vos ressources vous permet de restreindre l'accès à distance. | |
| section 4 - les 4 charges de travail standard du cloud b-design-and-secure | Déployez des instances Amazon Elastic Compute Cloud (Amazon EC2) au sein d'un Amazon Virtual Private Cloud (Amazon VPC) pour permettre une communication sécurisée entre une instance et d'autres services au sein d'Amazon VPC, sans passer par une passerelle Internet, un appareil NAT ou une connexion VPN. Tout le trafic reste en toute sécurité dans le cloud AWS. En raison de leur isolation logique, les domaines résidant au sein d'un Amazon VPC disposent d'une couche de sécurité supplémentaire par rapport aux domaines utilisant des points de terminaison publics. Attribuez des instances Amazon EC2 à un Amazon VPC pour gérer correctement l'accès. | |
| section 4 - les 4 charges de travail standard du cloud b-design-and-secure | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les passerelles Internet ne sont connectées qu'à Amazon Virtual Private Cloud (Amazon VPC) autorisé. Les passerelles Internet permettent un accès bidirectionnel à Internet depuis et vers Amazon VPC, ce qui peut potentiellement conduire à un accès non autorisé aux ressources Amazon VPC. | |
| section 4 - les 4 charges de travail standard du cloud b-design-and-secure | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les fonctions AWS Lambda ne sont pas accessibles au public. L'accès public peut potentiellement entraîner une dégradation de la disponibilité des ressources. | |
| section 4 - les 4 charges de travail standard du cloud b-design-and-secure | Déployez des fonctions AWS Lambda au sein d'un Amazon Virtual Private Cloud (Amazon VPC) pour une communication sécurisée entre une fonction et les autres services au sein d'Amazon VPC. Avec cette configuration, il n'est pas nécessaire de disposer d'une passerelle Internet, d'un périphérique NAT ou d'une connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolation logique, les domaines résidant au sein d'un Amazon VPC disposent d'une couche de sécurité supplémentaire par rapport aux domaines utilisant des points de terminaison publics. Pour gérer correctement l'accès, les fonctions AWS Lambda doivent être attribuées à un VPC. | |
| section 4 - les 4 charges de travail standard du cloud b-design-and-secure | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour tous les utilisateurs AWS d'Identity and Access Management (IAM) dotés d'un mot de passe de console. La MFA ajoute une couche de protection supplémentaire en plus des informations de connexion. En exigeant la MFA pour les utilisateurs, vous pouvez réduire les incidents liés à des comptes compromis et empêcher les utilisateurs non autorisés d'accéder aux données sensibles. | |
| section 4 - les 4 charges de travail standard du cloud b-design-and-secure | Assurez-vous que les tables de routage Amazon EC2 ne disposent pas de routes illimitées vers une passerelle Internet. La suppression ou la limitation de l'accès à Internet pour les charges de travail au sein d'Amazon VPC peut réduire les accès involontaires au sein de votre environnement. | |
| section 4 - les 4 charges de travail standard du cloud b-design-and-secure | Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch Service se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine Amazon OpenSearch Service au sein d'un Amazon VPC permet une communication sécurisée entre Amazon OpenSearch Service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN. | |
| section 4 - les 4 charges de travail standard du cloud b-design-and-secure | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, et des principes et un contrôle d'accès sont requis pour ces comptes. | |
| section 4 - les 4 charges de travail standard du cloud b-design-and-secure | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations et des principes sensibles et un contrôle d'accès est requis pour ces comptes. | |
| section 4 - les 4 charges de travail standard du cloud b-design-and-secure | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas restreindre l'accès aux ports à des sources fiables peut mener à des attaques contre la disponibilité, l'intégrité et la confidentialité des systèmes. Cette règle vous permet de définir éventuellement les paramètres BlockedPort1 - BlockedPort5 (Config Defaults : 20,21,3389,3306,4333). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| section 4 - les 4 charges de travail standard du cloud b-design-and-secure | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le matériel MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur le plus privilégié d'un AWS compte. Le MFA ajoute une couche de protection supplémentaire pour les informations de connexion. En exigeant le MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents liés à des comptes compromis. AWS | |
| section 4 - les 4 charges de travail standard du cloud b-design-and-secure | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur le plus privilégié d'un AWS compte. Le MFA ajoute une couche de protection supplémentaire pour le nom d'utilisateur et le mot de passe. En exigeant le MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents liés à des comptes compromis. AWS | |
| section 4 - les 4 charges de travail standard du cloud b-design-and-secure | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès du public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| section 4 - les 4 charges de travail standard du cloud b-design-and-secure | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les SageMaker ordinateurs portables Amazon ne permettent pas un accès direct à Internet. En empêchant l'accès direct à Internet, vous pouvez empêcher les utilisateurs non autorisés d'accéder à des données sensibles. | |
| section 4 - les 4 charges de travail standard du cloud b-design-and-secure | AWSSecurity Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que les solutions partenaires. AWS | |
| section 4 - les 4 charges de travail standard du cloud b-design-and-secure | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent contribuer à la gestion de l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS La restriction de l'ensemble du trafic sur le groupe de sécurité par défaut permet de restreindre l'accès à distance à vos AWS ressources. | |
| section 4 - les 4 charges de travail standard du cloud b-design-and-secure | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas restreindre l'accès des ports à des sources fiables peut mener à des attaques contre la disponibilité, l'intégrité et la confidentialité des systèmes. En restreignant l'accès aux ressources d'un groupe de sécurité depuis Internet (0.0.0.0/0), l'accès à distance aux systèmes internes peut être contrôlé. | |
| section 4 - les 4 charges de travail standard du cloud b-design-and-secure | Des tunnels VPN redondants de site à site peuvent être mis en œuvre pour répondre aux exigences de résilience. Il utilise deux tunnels pour garantir la connectivité au cas où l'une des connexions VPN de site à site deviendrait indisponible. Pour éviter toute perte de connectivité, en cas d'indisponibilité de votre passerelle client, vous pouvez configurer une deuxième connexion VPN Site-to-Site vers votre Amazon Virtual Private Cloud (Amazon VPC) et votre passerelle privée virtuelle en utilisant une deuxième passerelle client. | |
| section 4 - les 4 charges de travail standard du cloud b-design-and-secure | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public au niveau du bucket. | |
| section 4 - les 4 charges de travail standard du cloud b-design-and-secure | Gérez l'accès au AWS cloud en vous assurant qu'aucune adresse IP publique n'est automatiquement attribuée aux sous-réseaux Amazon Virtual Private Cloud (VPC). Les instances Amazon Elastic Compute Cloud (EC2) lancées dans des sous-réseaux pour lesquels cet attribut est activé disposent d'une adresse IP publique attribuée à leur interface réseau principale. | |
| section 4 b-design-and-secure : les charges de travail standard du cloud | Assurez-vous que l'intégrité du réseau est protégée en vous assurant que les certificats X509 sont émis par AWS ACM. Ces certificats doivent être valides et non expirés. Cette règle nécessite une valeur pour daysToExpiration (valeur des meilleures pratiques de sécurité AWS fondamentales : 90). La valeur réelle doit refléter les politiques de votre organisation. | |
| section 4 b-design-and-secure : les charges de travail standard du cloud | Activez la rotation des clés pour vous assurer que les clés sont pivotées une fois qu'elles ont atteint la fin de leur période de chiffrement. | |
| section 4 b-design-and-secure : les charges de travail standard du cloud | AWSIdentity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en empêchant les politiques de contenir des actions bloquées sur toutes les AWS clés du Key Management Service. Le fait d'avoir plus de privilèges que ce qui est nécessaire pour accomplir une tâche peut violer le principe du moindre privilège et de la séparation des tâches. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécurité AWS fondamentales : KMS:Decrypt, kms :). ReEncryptFrom Les valeurs réelles doivent refléter les politiques de votre organisation | |
| section 4 b-design-and-secure : les charges de travail standard du cloud | Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM (AWSIdentity and Access Management) ne dispose pas d'une politique intégrée autorisant le blocage d'actions sur toutes les clés du service de gestion des clés. AWS AWSrecommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisabilité, le versionnement, l'annulation et la délégation de la gestion des autorisations. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécurité AWS fondamentales : KMS:Decrypt, kms :). ReEncryptFrom Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| section 4 b-design-and-secure : les charges de travail standard du cloud | Assurez-vous que les actions IAM sont limitées aux seules actions nécessaires. Le fait d'autoriser les utilisateurs à disposer de plus de privilèges que ce qui est nécessaire pour effectuer une tâche peut violer le principe du moindre privilège et de la séparation des tâches. | |
| section 4 b-design-and-secure : les charges de travail standard du cloud | Pour protéger les données au repos, assurez-vous que la suppression des clés principales du client (CMK) nécessaires n'est pas planifiée dans le service de gestion des AWS clés (AWSKMS). La suppression de clés étant parfois nécessaire, cette règle peut aider à vérifier toutes les clés dont la suppression est prévue, au cas où une clé aurait été planifiée par inadvertance. | |
| section 4 b-design-and-secure : les charges de travail standard du cloud | Assurez-vous que vos Elastic Load Balancers (ELB) sont configurés pour supprimer les en-têtes HTTP. Étant donné que des données sensibles peuvent exister, activez le chiffrement en transit pour protéger ces données. | |
| section 4 b-design-and-secure : les charges de travail standard du cloud | Pour protéger les données en transit, assurez-vous que votre Application Load Balancer redirige automatiquement les requêtes HTTP non chiffrées vers HTTPS. Étant donné que des données sensibles peuvent exister, activez le chiffrement en transit pour protéger ces données. | |
| section 4 b-design-and-secure : les charges de travail standard du cloud | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour le cache de votre stage API Gateway. Les données sensibles pouvant être capturées par la méthode API, activez le chiffrement au repos pour protéger ces données. | |
| section 4 b-design-and-secure : les charges de travail standard du cloud | Pour protéger les données sensibles au repos, assurez-vous que le chiffrement est activé pour vos Amazon CloudWatch Log Groups. | |
| section 4 b-design-and-secure : les charges de travail standard du cloud | Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le cryptage est activé pour vos AWS CloudTrail pistes. | |
| section 4 b-design-and-secure : les charges de travail standard du cloud | Assurez-vous que le chiffrement est activé pour vos tables Amazon DynamoDB. Étant donné que des données sensibles peuvent exister au repos dans ces tables, activez le chiffrement au repos pour protéger ces données. Par défaut, les tables DynamoDB sont chiffrées à l'aide AWS d'une clé principale propre au client (CMK). | |
| section 4 b-design-and-secure : les charges de travail standard du cloud | Pour protéger les données inactives, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (Amazon EBS). Étant donné que des données sensibles peuvent exister au repos dans ces volumes, activez le chiffrement au repos pour protéger ces données. | |
| section 4 b-design-and-secure : les charges de travail standard du cloud | Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour votre Amazon Elastic File System (EFS). | |
| section 4 b-design-and-secure : les charges de travail standard du cloud | Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos domaines Amazon OpenSearch OpenSearch Service (Service). | |
| section 4 b-design-and-secure : les charges de travail standard du cloud | Assurez-vous que node-to-node le chiffrement pour Amazon OpenSearch Service est activé. ode-to-node Le chiffrement N active le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (Amazon VPC). Étant donné que des données sensibles peuvent exister, activez le chiffrement en transit pour protéger ces données. | |
| section 4 b-design-and-secure : les charges de travail standard du cloud | Assurez-vous que node-to-node le chiffrement pour Amazon OpenSearch Service est activé. ode-to-node Le chiffrement N active le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (Amazon VPC). Étant donné que des données sensibles peuvent exister, activez le chiffrement en transit pour protéger ces données. | |
| section 4 b-design-and-secure : les charges de travail standard du cloud | Étant donné que des données sensibles peuvent exister et pour protéger les données en transit, assurez-vous que le chiffrement est activé pour votre Elastic Load Balancing. Utilisez AWS Certificate Manager pour gérer, fournir et déployer des certificats SSL/TLS publics et privés avec des AWS services et des ressources internes. | |
| section 4 b-design-and-secure : les charges de travail standard du cloud | Étant donné que des données sensibles peuvent exister et pour protéger les données en transit, assurez-vous que le chiffrement est activé pour votre Elastic Load Balancing. Utilisez AWS Certificate Manager pour gérer, fournir et déployer des certificats SSL/TLS publics et privés avec des AWS services et des ressources internes. | |
| section 4 b-design-and-secure : les charges de travail standard du cloud | Assurez-vous que vos Elastic Load Balancers (ELB) sont configurés avec des écouteurs SSL ou HTTPS. Étant donné que des données sensibles peuvent exister, activez le chiffrement en transit pour protéger ces données. | |
| section 4 b-design-and-secure : les charges de travail standard du cloud | Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (Amazon EBS). | |
| section 4 b-design-and-secure : les charges de travail standard du cloud | Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos Amazon Kinesis Streams. | |
| section 4 b-design-and-secure : les charges de travail standard du cloud | Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos Amazon Kinesis Streams. | |
| section 4 b-design-and-secure : les charges de travail standard du cloud | Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos domaines Amazon OpenSearch Service. | |
| section 4 b-design-and-secure : les charges de travail standard du cloud | Assurez-vous que node-to-node le chiffrement pour Amazon OpenSearch Service est activé. ode-to-node Le chiffrement N active le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (Amazon VPC). Étant donné que des données sensibles peuvent exister, activez le chiffrement en transit pour protéger ces données. | |
| section 4 b-design-and-secure : les charges de travail standard du cloud | Assurez-vous que le chiffrement est activé pour vos instantanés Amazon Relational Database Service (Amazon RDS). Les données sensibles pouvant exister au repos, activez le chiffrement au repos pour protéger ces données. | |
| section 4 b-design-and-secure : les charges de travail standard du cloud | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos instances Amazon Relational Database Service (Amazon RDS). Étant donné que des données sensibles peuvent exister au repos dans les instances Amazon RDS, activez le chiffrement au repos pour protéger ces données. | |
| section 4 b-design-and-secure : les charges de travail standard du cloud | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités des utilisateurs dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| section 4 b-design-and-secure : les charges de travail standard du cloud | Assurez-vous que vos clusters Amazon Redshift nécessitent un cryptage TLS/SSL pour se connecter aux clients SQL. Étant donné que des données sensibles peuvent exister, activez le chiffrement en transit pour protéger ces données. | |
| section 4 b-design-and-secure : les charges de travail standard du cloud | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Étant donné que des données sensibles peuvent exister au repos dans les compartiments Amazon S3, activez le chiffrement pour protéger ces données. | |
| section 4 b-design-and-secure : les charges de travail standard du cloud | Pour protéger les données en transit, assurez-vous que vos compartiments Amazon Simple Storage Service (Amazon S3) nécessitent des demandes d'utilisation du protocole SSL (Secure Socket Layer). Étant donné que des données sensibles peuvent exister, activez le chiffrement en transit pour protéger ces données. | |
| section 4 b-design-and-secure : les charges de travail standard du cloud | Assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Étant donné que des données sensibles peuvent exister au repos dans un compartiment Amazon S3, activez le chiffrement au repos pour protéger ces données. | |
| section 4 b-design-and-secure : les charges de travail standard du cloud | Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWSKMS) est activé pour votre SageMaker terminal. Étant donné que les données sensibles peuvent exister au repos sur le SageMaker terminal, activez le chiffrement au repos pour protéger ces données. | |
| section 4 b-design-and-secure : les charges de travail standard du cloud | Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWSKMS) est activé pour votre SageMaker ordinateur portable. Étant donné que des données sensibles peuvent exister au repos dans le SageMaker bloc-notes, activez le chiffrement au repos pour protéger ces données. | |
| section 4 b-design-and-secure : les charges de travail standard du cloud | Pour protéger les données au repos, assurez-vous que vos rubriques Amazon Simple Notification Service (Amazon SNS) nécessitent un chiffrement à l'AWSaide du Key Management Service AWS (KMS). Étant donné que des données sensibles peuvent exister au repos dans les messages publiés, activez le chiffrement au repos pour protéger ces données. | |
| section 4 b-design-and-secure : les charges de travail standard du cloud | Assurez-vous que les étapes de l'API REST d'Amazon API Gateway sont configurées avec des certificats SSL afin de permettre aux systèmes principaux d'authentifier que les demandes proviennent d'API Gateway. | |
| section 4 b-design-and-secure : les charges de travail standard du cloud | Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWSKMS) est activé pour votre cluster Amazon Redshift. Les données sensibles pouvant exister au repos dans les clusters Redshift, activez le chiffrement au repos pour protéger ces données. | |
| section 4 b-design-and-secure : les charges de travail standard du cloud | Les informations d'identification sont auditées pour les appareils, les utilisateurs et les processus autorisés en veillant à ce que les clés d'accès IAM soient alternées conformément à la politique de l'organisation. La modification régulière des clés d'accès est une bonne pratique en matière de sécurité. Cela raccourcit la période pendant laquelle une clé d'accès est active et réduit l'impact commercial si les clés sont compromises. Cette règle nécessite une valeur de rotation de la clé d'accès (Config par défaut : 90). La valeur réelle doit refléter les politiques de votre organisation. | |
| section 4 b-design-and-secure : les charges de travail standard du cloud | La gestion centralisée des AWS comptes au sein AWS des Organizations permet de garantir la conformité des comptes. L'absence de gouvernance centralisée des comptes peut entraîner des configurations de comptes incohérentes, ce qui peut exposer des ressources et des données sensibles. | |
| section 4 b-design-and-secure : les charges de travail standard du cloud | Cette règle permet de garantir l'utilisation des meilleures pratiques de sécurité AWS recommandées pour AWS CloudTrail, en vérifiant l'activation de plusieurs paramètres. Il s'agit notamment de l'utilisation du chiffrement des journaux, de la validation des journaux et de AWS CloudTrail l'activation dans plusieurs régions. | |
| section 4 b-design-and-secure : les charges de travail standard du cloud | Les autorisations et autorisations d'accès peuvent être gérées et intégrées selon les principes du moindre privilège et de la séparation des tâches, en activant Kerberos pour les clusters Amazon EMR. Dans Kerberos, les services et les utilisateurs qui doivent s'authentifier sont appelés principaux. Les principes existent au sein d'un domaine Kerberos. Dans le domaine, un serveur Kerberos est connu sous le nom de centre de distribution de clés (KDC). Il fournit aux donneurs d'ordre un moyen de s'authentifier. Le KDC s'authentifie en émettant des tickets d'authentification. Il gère une base de données des principaux au sein de son domaine, leurs mots de passe, ainsi que d'autres informations administratives sur chaque principal. | |
| section 4 b-design-and-secure : les charges de travail standard du cloud | AWSIdentity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en empêchant les politiques de contenir des actions bloquées sur toutes les AWS clés du Key Management Service. Le fait d'avoir plus de privilèges que ce qui est nécessaire pour accomplir une tâche peut violer le principe du moindre privilège et de la séparation des tâches. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécurité AWS fondamentales : KMS:Decrypt, kms :). ReEncryptFrom Les valeurs réelles doivent refléter les politiques de votre organisation | |
| section 4 b-design-and-secure : les charges de travail standard du cloud | AWSIdentity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en garantissant que les groupes IAM comptent au moins un utilisateur. Placer les utilisateurs dans des groupes en fonction des autorisations ou des fonctions qui leur sont associées est un moyen d'intégrer le moindre privilège. | |
| section 4 b-design-and-secure : les charges de travail standard du cloud | Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM (AWSIdentity and Access Management) ne dispose pas d'une politique intégrée autorisant le blocage d'actions sur toutes les clés du service de gestion des clés. AWS AWSrecommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisabilité, le versionnement, l'annulation et la délégation de la gestion des autorisations. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécurité AWS fondamentales : KMS:Decrypt, kms :). ReEncryptFrom Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| section 4 b-design-and-secure : les charges de travail standard du cloud | Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM (AWSIdentity and Access Management) ne dispose pas d'une politique intégrée pour contrôler l'accès aux systèmes et aux actifs. AWSrecommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, le versionnement et le retour en arrière, ainsi que la délégation de la gestion des autorisations. | |
| section 4 b-design-and-secure : les charges de travail standard du cloud | Les identités et les informations d'identification sont émises, gérées et vérifiées sur la base d'une politique de mot de passe IAM organisationnelle. Ils respectent ou dépassent les exigences énoncées par le NIST SP 800-63 et par la norme AWS Foundational Security Best Practices en matière de robustesse des mots de passe. Cette règle vous permet de définir éventuellement RequireUppercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireLowercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireSymbols (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireNumbers (valeur des meilleures pratiques de sécurité de AWS base : vrai), MinimumPasswordLength (valeur des meilleures pratiques de sécurité de AWS base : 14), PasswordReusePrevention (valeur des meilleures pratiques de sécurité de AWS base : 24) et MaxPasswordAge (valeur des meilleures pratiques de sécurité de AWS base : 90) pour votre Politique de mot de passe IAM. Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| section 4 b-design-and-secure : les charges de travail standard du cloud | AWSIdentity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Le fait d'autoriser les utilisateurs à disposer de plus de privilèges que ce qui est nécessaire pour effectuer une tâche peut violer le principe du moindre privilège et de la séparation des tâches. | |
| section 4 b-design-and-secure : les charges de travail standard du cloud | Assurez-vous que les actions IAM sont limitées aux seules actions nécessaires. Le fait d'autoriser les utilisateurs à disposer de plus de privilèges que ce qui est nécessaire pour effectuer une tâche peut violer le principe du moindre privilège et de la séparation des tâches. | |
| section 4 b-design-and-secure : les charges de travail standard du cloud | L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root sont supprimées. Créez et utilisez plutôt des AWS comptes basés sur les rôles pour intégrer le principe de moindre fonctionnalité. | |
| section 4 b-design-and-secure : les charges de travail standard du cloud | AWSIdentity and Access Management (IAM) peut vous aider à restreindre les autorisations et autorisations d'accès en vous assurant que les utilisateurs sont membres d'au moins un groupe. Accorder aux utilisateurs plus de privilèges que ce qui est nécessaire pour effectuer une tâche peut violer le principe du moindre privilège et de la séparation des tâches. | |
| section 4 b-design-and-secure : les charges de travail standard du cloud | Activez cette règle pour restreindre l'accès aux ressources dans le AWS cloud. Cette règle garantit que l'authentification multifactorielle (MFA) est activée pour tous les utilisateurs. L'authentification MFA ajoute une couche de sécurité supplémentaire, en plus d'un nom d'utilisateur et d'un mot de passe. Réduisez le nombre d'incidents liés à la compromission de comptes en exigeant l'authentification MFA pour les utilisateurs. | |
| section 4 b-design-and-secure : les charges de travail standard du cloud | Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les chances qu'une identité reçoive ou conserve des privilèges excessifs. | |
| section 4 b-design-and-secure : les charges de travail standard du cloud | AWSIdentity and Access Management (IAM) peut vous aider à obtenir des autorisations et des autorisations d'accès en vérifiant les mots de passe et les clés d'accès IAM qui ne sont pas utilisés pendant une période donnée. Si ces informations d'identification non utilisées sont identifiées, vous devez les désactiver et/ou les supprimer, car cela pourrait violer le principe du moindre privilège. Cette règle vous oblige à définir une valeur sur maxCredentialUsage Age (Config Default : 90). La valeur réelle doit refléter les politiques de votre organisation. | |
| section 4 b-design-and-secure : les charges de travail standard du cloud | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour tous les utilisateurs AWS d'Identity and Access Management (IAM) dotés d'un mot de passe de console. La MFA ajoute une couche de protection supplémentaire en plus des informations de connexion. En exigeant la MFA pour les utilisateurs, vous pouvez réduire les incidents liés à des comptes compromis et empêcher les utilisateurs non autorisés d'accéder aux données sensibles. | |
| section 4 b-design-and-secure : les charges de travail standard du cloud | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le matériel MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur le plus privilégié d'un AWS compte. Le MFA ajoute une couche de protection supplémentaire pour les informations de connexion. En exigeant le MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents liés à des comptes compromis. AWS | |
| section 4 b-design-and-secure : les charges de travail standard du cloud | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur le plus privilégié d'un AWS compte. Le MFA ajoute une couche de protection supplémentaire pour le nom d'utilisateur et le mot de passe. En exigeant le MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents liés à des comptes compromis. AWS | |
| section 4 b-design-and-secure : les charges de travail standard du cloud | AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les AWS comptes qui ont appelé un AWS service, l'adresse IP source à partir de laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l'AWS CloudTrail enregistrement. | |
| section 4 b-design-and-secure : les charges de travail standard du cloud | AWSIdentity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en garantissant que les groupes IAM comptent au moins un utilisateur. Placer les utilisateurs dans des groupes en fonction des autorisations ou des fonctions qui leur sont associées est un moyen d'intégrer le moindre privilège. | |
| section 4 b-design-and-secure : les charges de travail standard du cloud | Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM (AWSIdentity and Access Management) ne dispose pas d'une politique intégrée pour contrôler l'accès aux systèmes et aux actifs. AWSrecommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, le versionnement et le retour en arrière, ainsi que la délégation de la gestion des autorisations. | |
| section 4 b-design-and-secure : les charges de travail standard du cloud | AWSIdentity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Le fait d'autoriser les utilisateurs à disposer de plus de privilèges que ce qui est nécessaire pour effectuer une tâche peut violer le principe du moindre privilège et de la séparation des tâches. | |
| section 4 b-design-and-secure : les charges de travail standard du cloud | Assurez-vous que les actions IAM sont limitées aux seules actions nécessaires. Le fait d'autoriser les utilisateurs à disposer de plus de privilèges que ce qui est nécessaire pour effectuer une tâche peut violer le principe du moindre privilège et de la séparation des tâches. | |
| section 4 b-design-and-secure : les charges de travail standard du cloud | L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root sont supprimées. Créez et utilisez plutôt des AWS comptes basés sur les rôles pour intégrer le principe de moindre fonctionnalité. | |
| section 4 b-design-and-secure : les charges de travail standard du cloud | AWSIdentity and Access Management (IAM) peut vous aider à restreindre les autorisations et autorisations d'accès en vous assurant que les utilisateurs sont membres d'au moins un groupe. Accorder aux utilisateurs plus de privilèges que ce qui est nécessaire pour effectuer une tâche peut violer le principe du moindre privilège et de la séparation des tâches. | |
| section 4 b-design-and-secure : les charges de travail standard du cloud | Activez cette règle pour restreindre l'accès aux ressources dans le AWS cloud. Cette règle garantit que l'authentification multifactorielle (MFA) est activée pour tous les utilisateurs. L'authentification MFA ajoute une couche de sécurité supplémentaire, en plus d'un nom d'utilisateur et d'un mot de passe. Réduisez le nombre d'incidents liés à la compromission de comptes en exigeant l'authentification MFA pour les utilisateurs. | |
| section 4 b-design-and-secure : les charges de travail standard du cloud | Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les chances qu'une identité reçoive ou conserve des privilèges excessifs. | |
| section 4 b-design-and-secure : les charges de travail standard du cloud | AWSIdentity and Access Management (IAM) peut vous aider à obtenir des autorisations et des autorisations d'accès en vérifiant les mots de passe et les clés d'accès IAM qui ne sont pas utilisés pendant une période donnée. Si ces informations d'identification non utilisées sont identifiées, vous devez les désactiver et/ou les supprimer, car cela pourrait violer le principe du moindre privilège. Cette règle vous oblige à définir une valeur sur maxCredentialUsage Age (Config Default : 90). La valeur réelle doit refléter les politiques de votre organisation. | |
| section 4 b-design-and-secure : les charges de travail standard du cloud | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour tous les utilisateurs AWS d'Identity and Access Management (IAM) dotés d'un mot de passe de console. La MFA ajoute une couche de protection supplémentaire en plus des informations de connexion. En exigeant la MFA pour les utilisateurs, vous pouvez réduire les incidents liés à des comptes compromis et empêcher les utilisateurs non autorisés d'accéder aux données sensibles. | |
| section 4 b-design-and-secure : les charges de travail standard du cloud | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le matériel MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur le plus privilégié d'un AWS compte. Le MFA ajoute une couche de protection supplémentaire pour les informations de connexion. En exigeant le MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents liés à des comptes compromis. AWS | |
| section 4 b-design-and-secure : les charges de travail standard du cloud | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur le plus privilégié d'un AWS compte. Le MFA ajoute une couche de protection supplémentaire pour le nom d'utilisateur et le mot de passe. En exigeant le MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents liés à des comptes compromis. AWS | |
| section 4 b-design-and-secure : les charges de travail standard du cloud | AWSSecurity Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que les solutions partenaires. AWS | |
| section 4 b-design-and-secure : les 10 charges de travail standard du cloud | Les informations d'identification sont auditées pour les appareils, les utilisateurs et les processus autorisés en veillant à ce que les clés d'accès IAM soient alternées conformément à la politique de l'organisation. La modification régulière des clés d'accès est une bonne pratique en matière de sécurité. Cela raccourcit la période pendant laquelle une clé d'accès est active et réduit l'impact commercial si les clés sont compromises. Cette règle nécessite une valeur de rotation de la clé d'accès (Config par défaut : 90). La valeur réelle doit refléter les politiques de votre organisation. | |
| section 4 b-design-and-secure : les 10 charges de travail standard du cloud | Si vous configurez vos interfaces réseau avec une adresse IP publique, les ressources associées à ces interfaces réseau sont accessibles depuis Internet. Les ressources EC2 ne doivent pas être accessibles au public, car cela peut permettre un accès involontaire à vos applications ou à vos serveurs. | |
| section 4 b-design-and-secure : les 10 charges de travail standard du cloud | Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch OpenSearch Service (Service) se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine de OpenSearch service au sein d'un Amazon VPC permet une communication sécurisée entre le OpenSearch service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN. | |
| section 4 b-design-and-secure : les 10 charges de travail standard du cloud | Gérez l'accès au AWS cloud en vous assurant que les nœuds maîtres du cluster Amazon EMR ne sont pas accessibles au public. Les nœuds maîtres du cluster Amazon EMR peuvent contenir des informations sensibles et un contrôle d'accès est requis pour ces comptes. | |
| section 4 b-design-and-secure : les 10 charges de travail standard du cloud | Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM (AWSIdentity and Access Management) ne dispose pas d'une politique intégrée pour contrôler l'accès aux systèmes et aux actifs. AWSrecommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, le versionnement et le retour en arrière, ainsi que la délégation de la gestion des autorisations. | |
| section 4 b-design-and-secure : les 10 charges de travail standard du cloud | AWSIdentity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Le fait d'autoriser les utilisateurs à disposer de plus de privilèges que ce qui est nécessaire pour effectuer une tâche peut violer le principe du moindre privilège et de la séparation des tâches. | |
| section 4 b-design-and-secure : les 10 charges de travail standard du cloud | L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root sont supprimées. Créez et utilisez plutôt des AWS comptes basés sur les rôles pour intégrer le principe de moindre fonctionnalité. | |
| section 4 b-design-and-secure : les 10 charges de travail standard du cloud | Activez cette règle pour restreindre l'accès aux ressources dans le AWS cloud. Cette règle garantit que l'authentification multifactorielle (MFA) est activée pour tous les utilisateurs. L'authentification MFA ajoute une couche de sécurité supplémentaire, en plus d'un nom d'utilisateur et d'un mot de passe. Réduisez le nombre d'incidents liés à la compromission de comptes en exigeant l'authentification MFA pour les utilisateurs. | |
| section 4 b-design-and-secure : les 10 charges de travail standard du cloud | Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les chances qu'une identité reçoive ou conserve des privilèges excessifs. | |
| section 4 b-design-and-secure : les 10 charges de travail standard du cloud | AWSIdentity and Access Management (IAM) peut vous aider à obtenir des autorisations et des autorisations d'accès en vérifiant les mots de passe et les clés d'accès IAM qui ne sont pas utilisés pendant une période donnée. Si ces informations d'identification non utilisées sont identifiées, vous devez les désactiver et/ou les supprimer, car cela pourrait violer le principe du moindre privilège. Cette règle vous oblige à définir une valeur sur maxCredentialUsage Age (Config Default : 90). La valeur réelle doit refléter les politiques de votre organisation. | |
| section 4 b-design-and-secure : les 10 charges de travail standard du cloud | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent aider à gérer l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS Le fait de ne pas autoriser le trafic entrant (ou distant) entre 0.0.0.0/0 et le port 22 sur vos ressources vous permet de restreindre l'accès à distance. | |
| section 4 b-design-and-secure : les 10 charges de travail standard du cloud | Déployez des instances Amazon Elastic Compute Cloud (Amazon EC2) au sein d'un Amazon Virtual Private Cloud (Amazon VPC) pour permettre une communication sécurisée entre une instance et d'autres services au sein d'Amazon VPC, sans passer par une passerelle Internet, un appareil NAT ou une connexion VPN. Tout le trafic reste en toute sécurité dans le cloud AWS. En raison de leur isolation logique, les domaines résidant au sein d'un Amazon VPC disposent d'une couche de sécurité supplémentaire par rapport aux domaines utilisant des points de terminaison publics. Attribuez des instances Amazon EC2 à un Amazon VPC pour gérer correctement l'accès. | |
| section 4 b-design-and-secure : les 10 charges de travail standard du cloud | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les passerelles Internet ne sont connectées qu'à Amazon Virtual Private Cloud (Amazon VPC) autorisé. Les passerelles Internet permettent un accès bidirectionnel à Internet depuis et vers Amazon VPC, ce qui peut potentiellement conduire à un accès non autorisé aux ressources Amazon VPC. | |
| section 4 b-design-and-secure : les 10 charges de travail standard du cloud | Déployez des fonctions AWS Lambda au sein d'un Amazon Virtual Private Cloud (Amazon VPC) pour une communication sécurisée entre une fonction et les autres services au sein d'Amazon VPC. Avec cette configuration, il n'est pas nécessaire de disposer d'une passerelle Internet, d'un périphérique NAT ou d'une connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolation logique, les domaines résidant au sein d'un Amazon VPC disposent d'une couche de sécurité supplémentaire par rapport aux domaines utilisant des points de terminaison publics. Pour gérer correctement l'accès, les fonctions AWS Lambda doivent être attribuées à un VPC. | |
| section 4 b-design-and-secure : les 10 charges de travail standard du cloud | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour tous les utilisateurs AWS d'Identity and Access Management (IAM) dotés d'un mot de passe de console. La MFA ajoute une couche de protection supplémentaire en plus des informations de connexion. En exigeant la MFA pour les utilisateurs, vous pouvez réduire les incidents liés à des comptes compromis et empêcher les utilisateurs non autorisés d'accéder aux données sensibles. | |
| section 4 b-design-and-secure : les 10 charges de travail standard du cloud | Assurez-vous que les tables de routage Amazon EC2 ne disposent pas de routes illimitées vers une passerelle Internet. La suppression ou la limitation de l'accès à Internet pour les charges de travail au sein d'Amazon VPC peut réduire les accès involontaires au sein de votre environnement. | |
| section 4 b-design-and-secure : les 10 charges de travail standard du cloud | Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch Service se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine Amazon OpenSearch Service au sein d'un Amazon VPC permet une communication sécurisée entre Amazon OpenSearch Service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN. | |
| section 4 b-design-and-secure : les 10 charges de travail standard du cloud | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, et des principes et un contrôle d'accès sont requis pour ces comptes. | |
| section 4 b-design-and-secure : les 10 charges de travail standard du cloud | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations et des principes sensibles et un contrôle d'accès est requis pour ces comptes. | |
| section 4 b-design-and-secure : les 10 charges de travail standard du cloud | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas restreindre l'accès aux ports à des sources fiables peut mener à des attaques contre la disponibilité, l'intégrité et la confidentialité des systèmes. Cette règle vous permet de définir éventuellement les paramètres BlockedPort1 - BlockedPort5 (Config Defaults : 20,21,3389,3306,4333). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| section 4 b-design-and-secure : les 10 charges de travail standard du cloud | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le matériel MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur le plus privilégié d'un AWS compte. Le MFA ajoute une couche de protection supplémentaire pour les informations de connexion. En exigeant le MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents liés à des comptes compromis. AWS | |
| section 4 b-design-and-secure : les 10 charges de travail standard du cloud | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur le plus privilégié d'un AWS compte. Le MFA ajoute une couche de protection supplémentaire pour le nom d'utilisateur et le mot de passe. En exigeant le MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents liés à des comptes compromis. AWS | |
| section 4 b-design-and-secure : les 10 charges de travail standard du cloud | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès du public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| section 4 b-design-and-secure : les 10 charges de travail standard du cloud | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les SageMaker ordinateurs portables Amazon ne permettent pas un accès direct à Internet. En empêchant l'accès direct à Internet, vous pouvez empêcher les utilisateurs non autorisés d'accéder à des données sensibles. | |
| section 4 b-design-and-secure : les 10 charges de travail standard du cloud | Assurez-vous que AWS les documents de Systems Manager (SSM) ne sont pas publics, car cela peut permettre un accès involontaire à vos documents SSM. Un document SSM public peut exposer des informations sur votre compte, vos ressources et vos processus internes. | |
| section 4 b-design-and-secure : les 10 charges de travail standard du cloud | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent contribuer à la gestion de l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS La restriction de l'ensemble du trafic sur le groupe de sécurité par défaut permet de restreindre l'accès à distance à vos AWS ressources. | |
| section 4 b-design-and-secure : les 10 charges de travail standard du cloud | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas restreindre l'accès des ports à des sources fiables peut mener à des attaques contre la disponibilité, l'intégrité et la confidentialité des systèmes. En restreignant l'accès aux ressources d'un groupe de sécurité depuis Internet (0.0.0.0/0), l'accès à distance aux systèmes internes peut être contrôlé. | |
| section 4 b-design-and-secure : les 10 charges de travail standard du cloud | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public au niveau du bucket. | |
| section 4 b-design-and-secure : les 10 charges de travail standard du cloud | Gérez l'accès au AWS cloud en vous assurant qu'aucune adresse IP publique n'est automatiquement attribuée aux sous-réseaux Amazon Virtual Private Cloud (VPC). Les instances Amazon Elastic Compute Cloud (EC2) lancées dans des sous-réseaux pour lesquels cet attribut est activé disposent d'une adresse IP publique attribuée à leur interface réseau principale. | |
| section 4 b-design-and-secure : les 12 charges de travail standard du cloud | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour le cache de votre stage API Gateway. Les données sensibles pouvant être capturées par la méthode API, activez le chiffrement au repos pour protéger ces données. | |
| section 4 b-design-and-secure : les 12 charges de travail standard du cloud | Pour protéger les données sensibles au repos, assurez-vous que le chiffrement est activé pour vos Amazon CloudWatch Log Groups. | |
| section 4 b-design-and-secure : les 12 charges de travail standard du cloud | Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le cryptage est activé pour vos AWS CloudTrail pistes. | |
| section 4 b-design-and-secure : les 12 charges de travail standard du cloud | Assurez-vous que les informations d'authentification AWS_ACCESS_KEY_ID et AWS_SECRET_ACCESS_KEY n'existent pas dans les environnements de projet Codebuild. AWS Ne stockez pas ces variables en texte clair. Le stockage de ces variables en texte clair entraîne une exposition involontaire aux données et un accès non autorisé. | |
| section 4 b-design-and-secure : les 12 charges de travail standard du cloud | Assurez-vous que l'URL du référentiel source GitHub ou de Bitbucket ne contient pas de jetons d'accès personnels ni d'identifiants de connexion dans les environnements de projet AWS Codebuild. Utilisez OAuth au lieu de jetons d'accès personnels ou d'identifiants de connexion pour autoriser l'accès aux GitHub référentiels Bitbucket. | |
| section 4 b-design-and-secure : les 12 charges de travail standard du cloud | Assurez-vous que le chiffrement est activé pour vos tables Amazon DynamoDB. Étant donné que des données sensibles peuvent exister au repos dans ces tables, activez le chiffrement au repos pour protéger ces données. Par défaut, les tables DynamoDB sont chiffrées à l'aide AWS d'une clé principale propre au client (CMK). | |
| section 4 b-design-and-secure : les 12 charges de travail standard du cloud | Pour protéger les données inactives, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (Amazon EBS). Étant donné que des données sensibles peuvent exister au repos dans ces volumes, activez le chiffrement au repos pour protéger ces données. | |
| section 4 b-design-and-secure : les 12 charges de travail standard du cloud | Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour votre Amazon Elastic File System (EFS). | |
| section 4 b-design-and-secure : les 12 charges de travail standard du cloud | Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos domaines Amazon OpenSearch OpenSearch Service (Service). | |
| section 4 b-design-and-secure : les 12 charges de travail standard du cloud | Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (Amazon EBS). | |
| section 4 b-design-and-secure : les 12 charges de travail standard du cloud | Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM (AWSIdentity and Access Management) ne dispose pas d'une politique intégrée pour contrôler l'accès aux systèmes et aux actifs. AWSrecommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, le versionnement et le retour en arrière, ainsi que la délégation de la gestion des autorisations. | |
| section 4 b-design-and-secure : les 12 charges de travail standard du cloud | AWSIdentity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Le fait d'autoriser les utilisateurs à disposer de plus de privilèges que ce qui est nécessaire pour effectuer une tâche peut violer le principe du moindre privilège et de la séparation des tâches. | |
| section 4 b-design-and-secure : les 12 charges de travail standard du cloud | AWSIdentity and Access Management (IAM) peut vous aider à restreindre les autorisations et autorisations d'accès en vous assurant que les utilisateurs sont membres d'au moins un groupe. Accorder aux utilisateurs plus de privilèges que ce qui est nécessaire pour effectuer une tâche peut violer le principe du moindre privilège et de la séparation des tâches. | |
| section 4 b-design-and-secure : les 12 charges de travail standard du cloud | Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les chances qu'une identité reçoive ou conserve des privilèges excessifs. | |
| section 4 b-design-and-secure : les 12 charges de travail standard du cloud | Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos Amazon Kinesis Streams. | |
| section 4 b-design-and-secure : les 12 charges de travail standard du cloud | Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos domaines Amazon OpenSearch Service. | |
| section 4 b-design-and-secure : les 12 charges de travail standard du cloud | Assurez-vous que le chiffrement est activé pour vos instantanés Amazon Relational Database Service (Amazon RDS). Les données sensibles pouvant exister au repos, activez le chiffrement au repos pour protéger ces données. | |
| section 4 b-design-and-secure : les 12 charges de travail standard du cloud | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos instances Amazon Relational Database Service (Amazon RDS). Étant donné que des données sensibles peuvent exister au repos dans les instances Amazon RDS, activez le chiffrement au repos pour protéger ces données. | |
| section 4 b-design-and-secure : les 12 charges de travail standard du cloud | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités des utilisateurs dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| section 4 b-design-and-secure : les 12 charges de travail standard du cloud | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Étant donné que des données sensibles peuvent exister au repos dans les compartiments Amazon S3, activez le chiffrement pour protéger ces données. | |
| section 4 b-design-and-secure : les 12 charges de travail standard du cloud | Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWSKMS) est activé pour votre SageMaker terminal. Étant donné que les données sensibles peuvent exister au repos sur le SageMaker terminal, activez le chiffrement au repos pour protéger ces données. | |
| section 4 b-design-and-secure : les 12 charges de travail standard du cloud | Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWSKMS) est activé pour votre SageMaker ordinateur portable. Étant donné que des données sensibles peuvent exister au repos dans le SageMaker bloc-notes, activez le chiffrement au repos pour protéger ces données. | |
| section 4 b-design-and-secure : les 12 charges de travail standard du cloud | Pour protéger les données au repos, assurez-vous que vos rubriques Amazon Simple Notification Service (Amazon SNS) nécessitent un chiffrement à l'AWSaide du Key Management Service AWS (KMS). Étant donné que des données sensibles peuvent exister au repos dans les messages publiés, activez le chiffrement au repos pour protéger ces données. | |
| section 4 b-design-and-secure : les 14 charges de travail standard du cloud | La journalisation d'API Gateway affiche des vues détaillées des utilisateurs qui ont accédé à l'API et de la manière dont ils y ont accédé. Ces informations permettent de visualiser les activités des utilisateurs. | |
| section 4 b-design-and-secure : les 14 charges de travail standard du cloud | La collecte d'événements de données Simple Storage Service (Amazon S3) permet de détecter toute activité anormale. Les détails incluent les informations du AWS compte qui a accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement. | |
| section 4 b-design-and-secure : les 14 charges de travail standard du cloud | Cette règle permet de garantir l'utilisation des meilleures pratiques de sécurité AWS recommandées pour AWS CloudTrail, en vérifiant l'activation de plusieurs paramètres. Il s'agit notamment de l'utilisation du chiffrement des journaux, de la validation des journaux et de AWS CloudTrail l'activation dans plusieurs régions. | |
| section 4 b-design-and-secure : les 14 charges de travail standard du cloud | Pour protéger les données sensibles au repos, assurez-vous que le chiffrement est activé pour vos Amazon CloudWatch Log Groups. | |
| section 4 b-design-and-secure : les 14 charges de travail standard du cloud | Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des détails sur l'activité des appels d'API dans votre AWS compte. | |
| section 4 b-design-and-secure : les 14 charges de travail standard du cloud | Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le cryptage est activé pour vos AWS CloudTrail pistes. | |
| section 4 b-design-and-secure : les 14 charges de travail standard du cloud | Utilisez la validation des fichiers AWS CloudTrail journaux pour vérifier l'intégrité des CloudTrail journaux. La validation du fichier journal permet de déterminer si un fichier journal a été modifié, supprimé ou inchangé après CloudTrail sa livraison. Cette fonction est créée grâce à des algorithmes standard du secteur : SHA-256 pour le hachage et SHA-256 avec RSA pour la signature numérique. Il est donc impossible, sur le plan informatique, de modifier, de supprimer ou de falsifier des fichiers CloudTrail journaux sans détection. | |
| section 4 b-design-and-secure : les 14 charges de travail standard du cloud | Assurez-vous que les données du journal des événements sont conservées pendant une durée minimale pour vos groupes de journaux afin de faciliter le dépannage et les enquêtes médico-légales. Le manque de données disponibles dans les journaux d'événements passés complique la reconstitution et l'identification des événements potentiellement malveillants. | |
| section 4 b-design-and-secure : les 14 charges de travail standard du cloud | Assurez-vous que les journaux d'erreurs sont activés dans les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. Les journaux d'erreurs de domaine peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité. | |
| section 4 b-design-and-secure : les 14 charges de travail standard du cloud | L'activité Elastic Load Balancing est un point de communication central au sein d'un environnement. Assurez-vous que la journalisation ELB est activée. Les données collectées fournissent des informations détaillées sur les demandes envoyées à l'ELB. Chaque journal contient des informations comme l'heure à laquelle la demande a été reçue, l'adresse IP du client, les latences, les chemins de demande et les réponses du serveur. | |
| section 4 b-design-and-secure : les 14 charges de travail standard du cloud | Amazon GuardDuty peut aider à surveiller et à détecter les événements de cybersécurité potentiels en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
| section 4 b-design-and-secure : les 14 charges de travail standard du cloud | Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM (AWSIdentity and Access Management) ne dispose pas d'une politique intégrée pour contrôler l'accès aux systèmes et aux actifs. AWSrecommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, le versionnement et le retour en arrière, ainsi que la délégation de la gestion des autorisations. | |
| section 4 b-design-and-secure : les 14 charges de travail standard du cloud | AWSIdentity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Le fait d'autoriser les utilisateurs à disposer de plus de privilèges que ce qui est nécessaire pour effectuer une tâche peut violer le principe du moindre privilège et de la séparation des tâches. | |
| section 4 b-design-and-secure : les 14 charges de travail standard du cloud | Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les chances qu'une identité reçoive ou conserve des privilèges excessifs. | |
| section 4 b-design-and-secure : les 14 charges de travail standard du cloud | AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelésAWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans aucune action. | |
| section 4 b-design-and-secure : les 14 charges de travail standard du cloud | Assurez-vous que les journaux d'erreurs sont activés dans les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. OpenSearch Les journaux des erreurs de service peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité. | |
| section 4 b-design-and-secure : les 14 charges de travail standard du cloud | Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées. | |
| section 4 b-design-and-secure : les 14 charges de travail standard du cloud | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités des utilisateurs dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| section 4 b-design-and-secure : les 14 charges de travail standard du cloud | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès du public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| section 4 b-design-and-secure : les 14 charges de travail standard du cloud | Assurez-vous que le verrouillage de votre compartiment Amazon Simple Storage Service (Amazon S3) est activé par défaut. Étant donné que des données sensibles peuvent exister au repos dans des compartiments S3, appliquez le verrouillage des objets au repos pour protéger ces données. | |
| section 4 b-design-and-secure : les 14 charges de travail standard du cloud | La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) fournit une méthode pour surveiller le réseau afin de détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés des demandes adressées à un compartiment Amazon S3. Chaque enregistrement du journal d'accès fournit des détails sur une seule demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant. | |
| section 4 b-design-and-secure : les 14 charges de travail standard du cloud | Gérez l'accès au AWS cloud en activant s3_ bucket_policy_grantee_check. Cette règle vérifie que l'accès accordé par le compartiment Amazon S3 est limité par les principaux, les utilisateurs fédérés, AWS les principaux de service, les adresses IP ou les identifiants Amazon Virtual Private Cloud (Amazon VPC) que vous fournissez. | |
| section 4 b-design-and-secure : les 14 charges de travail standard du cloud | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Étant donné que des données sensibles peuvent exister au repos dans les compartiments Amazon S3, activez le chiffrement pour protéger ces données. | |
| section 4 b-design-and-secure : les 14 charges de travail standard du cloud | La gestion des versions des compartiments Amazon Simple Storage Service (Amazon S3) permet de conserver plusieurs variantes d'un objet dans le même compartiment Amazon S3. Utilisez le versionnement pour préserver, récupérer et restaurer chaque version de chaque objet stocké dans votre compartiment Amazon S3. La gestion des versions vous permet de vous remettre facilement en cas d'actions involontaires des utilisateurs ou de défaillances d'applications. | |
| section 4 b-design-and-secure : les 14 charges de travail standard du cloud | AWSSecurity Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que les solutions partenaires. AWS | |
| section 4 b-design-and-secure : les 14 charges de travail standard du cloud | Les journaux de flux VPC fournissent des enregistrements détaillés contenant des informations sur le trafic IP en provenance et à destination des interfaces réseau de votre Amazon Virtual Private Cloud (Amazon VPC). Par défaut, l'enregistrement du journal de flux inclut des valeurs pour les différents composants du flux IP, notamment la source, la destination et le protocole. | |
| section 4 b-design-and-secure : les 14 charges de travail standard du cloud | Pour faciliter la journalisation et la surveillance au sein de votre environnement, activez la journalisation AWS WAF (V2) sur les ACL Web régionales et mondiales. AWS La journalisation WAF fournit des informations détaillées sur le trafic analysé par votre ACL Web. Les journaux enregistrent l'heure à laquelle AWS WAF a reçu la demande de votre AWS ressource, des informations sur la demande et une action pour la règle à laquelle chaque demande correspondait. | |
| section 4 b-design-and-secure : les 14 charges de travail standard du cloud | Assurez-vous que la journalisation des audits est activée sur vos domaines Amazon OpenSearch Service. La journalisation des audits vous permet de suivre l'activité des utilisateurs sur vos OpenSearch domaines, notamment les réussites et les échecs d'authentification, les demandes OpenSearch, les modifications d'index et les requêtes de recherche entrantes. | |
| section 4 b-design-and-secure : les 15 charges de travail standard du cloud | Activez la rotation des clés pour vous assurer que les clés sont pivotées une fois qu'elles ont atteint la fin de leur période de chiffrement. | |
| section 4 b-design-and-secure : les 15 charges de travail standard du cloud | Gérez l'accès au AWS cloud en vous assurant que les instances de réplication DMS ne sont pas accessibles au public. Les instances de réplication DMS peuvent contenir des informations sensibles et un contrôle d'accès est requis pour ces comptes. | |
| section 4 b-design-and-secure : les 15 charges de travail standard du cloud | Gérez l'accès au AWS cloud en vous assurant que les instantanés EBS ne sont pas restaurables publiquement. Les instantanés des volumes EBS peuvent contenir des informations sensibles et un contrôle d'accès est requis pour ces comptes. | |
| section 4 b-design-and-secure : les 15 charges de travail standard du cloud | Pour protéger les données inactives, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (Amazon EBS). Étant donné que des données sensibles peuvent exister au repos dans ces volumes, activez le chiffrement au repos pour protéger ces données. | |
| section 4 b-design-and-secure : les 15 charges de travail standard du cloud | Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour votre Amazon Elastic File System (EFS). | |
| section 4 b-design-and-secure : les 15 charges de travail standard du cloud | Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch OpenSearch Service (Service) se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine de OpenSearch service au sein d'un Amazon VPC permet une communication sécurisée entre le OpenSearch service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN. | |
| section 4 b-design-and-secure : les 15 charges de travail standard du cloud | Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (Amazon EBS). | |
| section 4 b-design-and-secure : les 15 charges de travail standard du cloud | Pour protéger les données au repos, assurez-vous que la suppression des clés principales du client (CMK) nécessaires n'est pas planifiée dans le service de gestion des AWS clés (AWSKMS). La suppression de clés étant parfois nécessaire, cette règle peut aider à vérifier toutes les clés dont la suppression est prévue, au cas où une clé aurait été planifiée par inadvertance. | |
| section 4 b-design-and-secure : les 15 charges de travail standard du cloud | Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch Service se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine Amazon OpenSearch Service au sein d'un Amazon VPC permet une communication sécurisée entre Amazon OpenSearch Service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN. | |
| section 4 b-design-and-secure : les 15 charges de travail standard du cloud | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations et des principes sensibles et un contrôle d'accès est requis pour ces comptes. | |
| section 4 b-design-and-secure : les 15 charges de travail standard du cloud | Assurez-vous que le chiffrement est activé pour vos instantanés Amazon Relational Database Service (Amazon RDS). Les données sensibles pouvant exister au repos, activez le chiffrement au repos pour protéger ces données. | |
| section 4 b-design-and-secure : les 15 charges de travail standard du cloud | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès du public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| section 4 b-design-and-secure : les 15 charges de travail standard du cloud | Assurez-vous que le verrouillage de votre compartiment Amazon Simple Storage Service (Amazon S3) est activé par défaut. Étant donné que des données sensibles peuvent exister au repos dans des compartiments S3, appliquez le verrouillage des objets au repos pour protéger ces données. | |
| section 4 b-design-and-secure : les 15 charges de travail standard du cloud | Gérez l'accès au AWS cloud en activant s3_ bucket_policy_grantee_check. Cette règle vérifie que l'accès accordé par le compartiment Amazon S3 est limité par les principaux, les utilisateurs fédérés, AWS les principaux de service, les adresses IP ou les identifiants Amazon Virtual Private Cloud (Amazon VPC) que vous fournissez. | |
| section 4 b-design-and-secure : les 15 charges de travail standard du cloud | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion de l'accès doit être cohérente avec la classification des données. | |
| section 4 b-design-and-secure : les 15 charges de travail standard du cloud | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion de l'accès doit être cohérente avec la classification des données. | |
| section 4 b-design-and-secure : les 15 charges de travail standard du cloud | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Étant donné que des données sensibles peuvent exister au repos dans les compartiments Amazon S3, activez le chiffrement pour protéger ces données. | |
| section 4 b-design-and-secure : les 15 charges de travail standard du cloud | La gestion des versions des compartiments Amazon Simple Storage Service (Amazon S3) permet de conserver plusieurs variantes d'un objet dans le même compartiment Amazon S3. Utilisez le versionnement pour préserver, récupérer et restaurer chaque version de chaque objet stocké dans votre compartiment Amazon S3. La gestion des versions vous permet de vous remettre facilement en cas d'actions involontaires des utilisateurs ou de défaillances d'applications. | |
| section 4 b-design-and-secure : les 15 charges de travail standard du cloud | Assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Étant donné que des données sensibles peuvent exister au repos dans un compartiment Amazon S3, activez le chiffrement au repos pour protéger ces données. | |
| section 4 - 1 - charges de travail standard c-run-the-cloud | AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les AWS comptes qui ont appelé un AWS service, l'adresse IP source à partir de laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l'AWS CloudTrail enregistrement. | |
| section 4 -2 charges de travail standard c-run-the-cloud | Amazon CloudWatch émet une alerte lorsqu'une métrique dépasse le seuil pour un certain nombre de périodes d'évaluation. Elle réalise une ou plusieurs actions en fonction de la valeur de la métrique ou de l'expression par rapport à un seuil sur un certain nombre de périodes. Cette règle nécessite une valeur pour alarmActionRequired (Config Default : True), insufficientDataAction Required (Config Default : True), okActionRequired (Config Default : False). La valeur réelle doit refléter les actions d'alarme de votre environnement. | |
| section 4 -2 charges de travail standard c-run-the-cloud | Amazon GuardDuty peut aider à surveiller et à détecter les événements de cybersécurité potentiels en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
| section 4 -2 charges de travail standard c-run-the-cloud | AWSIdentity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en garantissant que les groupes IAM comptent au moins un utilisateur. Placer les utilisateurs dans des groupes en fonction des autorisations ou des fonctions qui leur sont associées est un moyen d'intégrer le moindre privilège. | |
| section 4 -2 charges de travail standard c-run-the-cloud | Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM (AWSIdentity and Access Management) ne dispose pas d'une politique intégrée pour contrôler l'accès aux systèmes et aux actifs. AWSrecommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, le versionnement et le retour en arrière, ainsi que la délégation de la gestion des autorisations. | |
| section 4 -2 charges de travail standard c-run-the-cloud | AWSIdentity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Le fait d'autoriser les utilisateurs à disposer de plus de privilèges que ce qui est nécessaire pour effectuer une tâche peut violer le principe du moindre privilège et de la séparation des tâches. | |
| section 4 -2 charges de travail standard c-run-the-cloud | Assurez-vous que les actions IAM sont limitées aux seules actions nécessaires. Le fait d'autoriser les utilisateurs à disposer de plus de privilèges que ce qui est nécessaire pour effectuer une tâche peut violer le principe du moindre privilège et de la séparation des tâches. | |
| section 4 -2 charges de travail standard c-run-the-cloud | L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root sont supprimées. Créez et utilisez plutôt des AWS comptes basés sur les rôles pour intégrer le principe de moindre fonctionnalité. | |
| section 4 -2 charges de travail standard c-run-the-cloud | AWSIdentity and Access Management (IAM) peut vous aider à restreindre les autorisations et autorisations d'accès en vous assurant que les utilisateurs sont membres d'au moins un groupe. Accorder aux utilisateurs plus de privilèges que ce qui est nécessaire pour effectuer une tâche peut violer le principe du moindre privilège et de la séparation des tâches. | |
| section 4 -2 charges de travail standard c-run-the-cloud | Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les chances qu'une identité reçoive ou conserve des privilèges excessifs. | |
| section 4 -2 charges de travail standard c-run-the-cloud | AWSSecurity Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que les solutions partenaires. AWS | |
| section 4 -3 - charges de travail standard c-run-the-cloud | La journalisation d'API Gateway affiche des vues détaillées des utilisateurs qui ont accédé à l'API et de la manière dont ils y ont accédé. Ces informations permettent de visualiser les activités des utilisateurs. | |
| section 4 -3 - charges de travail standard c-run-the-cloud | La collecte d'événements de données Simple Storage Service (Amazon S3) permet de détecter toute activité anormale. Les détails incluent les informations du AWS compte qui a accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement. | |
| section 4 -3 - charges de travail standard c-run-the-cloud | Cette règle permet de garantir l'utilisation des meilleures pratiques de sécurité AWS recommandées pour AWS CloudTrail, en vérifiant l'activation de plusieurs paramètres. Il s'agit notamment de l'utilisation du chiffrement des journaux, de la validation des journaux et de AWS CloudTrail l'activation dans plusieurs régions. | |
| section 4 -3 - charges de travail standard c-run-the-cloud | Amazon CloudWatch émet une alerte lorsqu'une métrique dépasse le seuil pour un certain nombre de périodes d'évaluation. Elle réalise une ou plusieurs actions en fonction de la valeur de la métrique ou de l'expression par rapport à un seuil sur un certain nombre de périodes. Cette règle nécessite une valeur pour alarmActionRequired (Config Default : True), insufficientDataAction Required (Config Default : True), okActionRequired (Config Default : False). La valeur réelle doit refléter les actions d'alarme de votre environnement. | |
| section 4 -3 - charges de travail standard c-run-the-cloud | Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des détails sur l'activité des appels d'API dans votre AWS compte. | |
| section 4 -3 - charges de travail standard c-run-the-cloud | AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les AWS comptes qui ont appelé un AWS service, l'adresse IP source à partir de laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l'AWS CloudTrail enregistrement. | |
| section 4 -3 - charges de travail standard c-run-the-cloud | Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le cryptage est activé pour vos AWS CloudTrail pistes. | |
| section 4 -3 - charges de travail standard c-run-the-cloud | Utilisez la validation des fichiers AWS CloudTrail journaux pour vérifier l'intégrité des CloudTrail journaux. La validation du fichier journal permet de déterminer si un fichier journal a été modifié, supprimé ou inchangé après CloudTrail sa livraison. Cette fonction est créée grâce à des algorithmes standard du secteur : SHA-256 pour le hachage et SHA-256 avec RSA pour la signature numérique. Il est donc impossible, sur le plan informatique, de modifier, de supprimer ou de falsifier des fichiers CloudTrail journaux sans détection. | |
| section 4 -3 - charges de travail standard c-run-the-cloud | Assurez-vous que les journaux d'erreurs sont activés dans les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. Les journaux d'erreurs de domaine peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité. | |
| section 4 -3 - charges de travail standard c-run-the-cloud | L'activité Elastic Load Balancing est un point de communication central au sein d'un environnement. Assurez-vous que la journalisation ELB est activée. Les données collectées fournissent des informations détaillées sur les demandes envoyées à l'ELB. Chaque journal contient des informations comme l'heure à laquelle la demande a été reçue, l'adresse IP du client, les latences, les chemins de demande et les réponses du serveur. | |
| section 4 -3 - charges de travail standard c-run-the-cloud | Amazon GuardDuty peut aider à surveiller et à détecter les événements de cybersécurité potentiels en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
| section 4 -3 - charges de travail standard c-run-the-cloud | AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelésAWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans aucune action. | |
| section 4 -3 - charges de travail standard c-run-the-cloud | Assurez-vous que les journaux d'erreurs sont activés dans les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. OpenSearch Les journaux des erreurs de service peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité. | |
| section 4 -3 - charges de travail standard c-run-the-cloud | Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées. | |
| section 4 -3 - charges de travail standard c-run-the-cloud | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités des utilisateurs dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| section 4 -3 - charges de travail standard c-run-the-cloud | La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) fournit une méthode pour surveiller le réseau afin de détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés des demandes adressées à un compartiment Amazon S3. Chaque enregistrement du journal d'accès fournit des détails sur une seule demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant. | |
| section 4 -3 - charges de travail standard c-run-the-cloud | AWSSecurity Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que les solutions partenaires. AWS | |
| section 4 -3 - charges de travail standard c-run-the-cloud | Les journaux de flux VPC fournissent des enregistrements détaillés contenant des informations sur le trafic IP en provenance et à destination des interfaces réseau de votre Amazon Virtual Private Cloud (Amazon VPC). Par défaut, l'enregistrement du journal de flux inclut des valeurs pour les différents composants du flux IP, notamment la source, la destination et le protocole. | |
| section 4 -3 - charges de travail standard c-run-the-cloud | Pour faciliter la journalisation et la surveillance au sein de votre environnement, activez la journalisation AWS WAF (V2) sur les ACL Web régionales et mondiales. AWS La journalisation WAF fournit des informations détaillées sur le trafic analysé par votre ACL Web. Les journaux enregistrent l'heure à laquelle AWS WAF a reçu la demande de votre AWS ressource, des informations sur la demande et une action pour la règle à laquelle chaque demande correspondait. | |
| section 4 -3 - charges de travail standard c-run-the-cloud | Assurez-vous que la journalisation des audits est activée sur vos domaines Amazon OpenSearch Service. La journalisation des audits vous permet de suivre l'activité des utilisateurs sur vos OpenSearch domaines, notamment les réussites et les échecs d'authentification, les demandes OpenSearch, les modifications d'index et les requêtes de recherche entrantes. | |
| section 4 - 4 charges de travail standard c-run-the-cloud | response-plan-exists-maintained (vérification du processus) | Assurez-vous que les plans de réponse aux incidents sont établis, maintenus et distribués au personnel responsable. |
| section 4 - 5 charges de travail standard c-run-the-cloud | Les tests de santé Elastic Load Balancer (ELB) pour les groupes Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling permettent de maintenir une capacité et une disponibilité adéquates. L'équilibreur de charge envoie régulièrement des pings, tente de se connecter ou envoie des demandes pour tester l'état des instances Amazon EC2 dans un groupe d'auto-scaling. Si une instance ne produit pas de rapport, le trafic est envoyé vers une nouvelle instance Amazon EC2. | |
| section 4 - 5 charges de travail standard c-run-the-cloud | Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des détails sur l'activité des appels d'API dans votre AWS compte. | |
| section 4 - 5 charges de travail standard c-run-the-cloud | Amazon DynamoDB Auto Scaling AWS utilise le service Application Auto Scaling pour ajuster la capacité de débit allouée afin qu'elle réponde automatiquement aux modèles de trafic réels. Cela permet à une table ou à un index secondaire global d'augmenter sa capacité de lecture/écriture allouée afin de gérer les augmentations soudaines du trafic, sans limitation. | |
| section 4 - 5 charges de travail standard c-run-the-cloud | Activez cette règle pour vous assurer que la capacité de débit allouée est vérifiée sur vos tables Amazon DynamoDB. Il s'agit de la quantité d'activité de lecture/écriture que chaque table peut prendre en charge. DynamoDB utilise ces informations pour réserver des ressources système suffisantes pour répondre à vos exigences de débit. Cette règle génère une alerte lorsque le débit approche de la limite maximale pour le compte d'un client. Cette règle vous permet de définir éventuellement les paramètres AccountRCU (ThresholdPercentage Config Default : 80) et AccountWCU ThresholdPercentage (Config Default : 80). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| section 4 - 5 charges de travail standard c-run-the-cloud | Activez cette règle pour améliorer la surveillance des instances Amazon Elastic Compute Cloud (Amazon EC2) sur la console Amazon EC2, qui affiche des graphiques de surveillance avec une période d'une minute pour l'instance. | |
| section 4 - 5 charges de travail standard c-run-the-cloud | Cette règle garantit que les limites hautes et basses de simultanéité d'une fonction Lambda sont établies. Cela peut aider à établir une base de référence pour le nombre de demandes traitées par votre fonction à un moment donné. | |
| section 4 - 5 charges de travail standard c-run-the-cloud | Activez Amazon Relational Database Service (Amazon RDS) pour surveiller la disponibilité d'Amazon RDS. Cela fournit une visibilité détaillée sur l'état de vos instances de base de données Amazon RDS. Lorsque le stockage Amazon RDS utilise plusieurs appareils physiques sous-jacents, Enhanced Monitoring collecte les données pour chaque appareil. En outre, lorsque l'instance de base de données Amazon RDS est exécutée dans le cadre d'un déploiement multi-AZ, les données de chaque appareil sur l'hôte secondaire sont collectées, ainsi que les métriques de l'hôte secondaire. | |
| section 4 - 5 charges de travail standard c-run-the-cloud | AWSLes rapports de santé améliorés d'Elastic Beanstalk permettent de réagir plus rapidement aux modifications de l'état de santé de l'infrastructure sous-jacente. Ces modifications peuvent entraîner un manque de disponibilité de l'application. Les rapports de santé améliorés d'Elastic Beanstalk fournissent un descripteur de statut permettant d'évaluer la gravité des problèmes identifiés et d'identifier les causes possibles à étudier. | |
| section 4 à 6 charges de travail standard c-run-the-cloud | Un inventaire des plateformes logicielles et des applications au sein de l'organisation est possible en gérant les instances Amazon Elastic Compute Cloud (Amazon EC2) avec Systems AWS Manager. Utilisez AWS Systems Manager pour fournir des configurations système détaillées, les niveaux de correctif du système d'exploitation, le nom et le type de service, les installations logicielles, le nom, l'éditeur et la version de l'application, ainsi que d'autres informations sur votre environnement. | |
| section 4 à 6 charges de travail standard c-run-the-cloud | Activez cette règle pour faciliter l'identification et la documentation des vulnérabilités liées à Amazon Elastic Compute Cloud (Amazon EC2). La règle vérifie si les correctifs d'instance Amazon EC2 sont conformes dans AWS Systems Manager conformément aux politiques et procédures de votre entreprise. | |
| section 4 à 6 charges de travail standard c-run-the-cloud | Cette règle garantit que les clusters Amazon Redshift disposent des paramètres préférés pour votre organisation. Plus précisément, qu'ils ont des fenêtres de maintenance préférées et des périodes de conservation des instantanés automatisées pour la base de données. Cette règle vous oblige à définir le allowVersionUpgrade. Par défaut, la valeur est true. Il vous permet également de définir éventuellement le preferredMaintenanceWindow (la valeur par défaut est samedi : 16h00 - samedi : 16h30) et la automatedSnapshotRetention période (la valeur par défaut est 1). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| section 4 à 6 charges de travail standard c-run-the-cloud | L'activation des mises à jour de plateforme gérées pour un environnement Amazon Elastic Beanstalk garantit l'installation des derniers correctifs, mises à jour et fonctionnalités de plate-forme disponibles pour l'environnement. Pour sécuriser les systèmes, il est recommandé de se tenir au courant de l'installation des correctifs. |
Modèle
Le modèle est disponible sur GitHub : Meilleures pratiques opérationnelles pour les charges de travail standard ABS CCIG 2.0
