Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Bonnes pratiques de fonctionnement pour BNM RMiT
Les packs de conformité fournissent un cadre de conformité à usage général conçu pour vous permettre de créer des contrôles de gouvernance en matière de sécurité, d'exploitation ou d'optimisation des coûts à l'aide de AWS Config règles gérées ou personnalisées et d'actions correctives. AWS Config Les packs de conformité, en tant qu'exemples de modèle, ne sont pas conçus pour garantir pleinement la conformité à une norme de gouvernance ou de conformité spécifique. Il vous incombe de déterminer vous-même si votre utilisation des services est conforme aux exigences légales et réglementaires applicables.
Vous trouverez ci-dessous un exemple de mappage entre les règles de gestion des risques technologiques (RMiT) de Bank Negara Malaysia (BNM) et les règles de configuration gérées AWS . Chaque règle de configuration s'applique à une AWS ressource spécifique et concerne un ou plusieurs contrôles BNM RMiT. Un contrôle BNM RMiT peut être associé à plusieurs règles de configuration. Reportez-vous au tableau ci-dessous pour obtenir plus de détails et des conseils relatifs à ces mappages.
| ID du contrôle | Description du contrôle | AWS Règle de configuration | Conseils |
|---|---|---|---|
| 10,18 | Une institution financière doit faire preuve de diligence raisonnable et évaluer les contrôles cryptographiques associés à la technologie utilisée afin de protéger la confidentialité, l'intégrité, l'authentification, l'autorisation et la non-répudiation des informations. Lorsqu'une institution financière ne génère pas ses propres clés de chiffrement, elle doit prendre les mesures appropriées pour garantir la mise en place de contrôles et de processus robustes pour gérer les clés de chiffrement. Lorsque cela implique de s'appuyer sur des évaluations effectuées par des tiers, l'institution financière doit déterminer si cette confiance est compatible avec son appétit pour le risque et sa tolérance au risque. Une institution financière doit également tenir dûment compte des ressources système requises pour la prise en charge des contrôles cryptographiques et du risque de réduction de la visibilité du trafic réseau des données chiffrées. | Pour protéger les données en transit, assurez-vous que votre Application Load Balancer redirige automatiquement les requêtes HTTP non chiffrées vers HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| 10,18 | Une institution financière doit faire preuve de diligence raisonnable et évaluer les contrôles cryptographiques associés à la technologie utilisée afin de protéger la confidentialité, l'intégrité, l'authentification, l'autorisation et la non-répudiation des informations. Lorsqu'une institution financière ne génère pas ses propres clés de chiffrement, elle doit prendre les mesures appropriées pour garantir la mise en place de contrôles et de processus robustes pour gérer les clés de chiffrement. Lorsque cela implique de s'appuyer sur des évaluations effectuées par des tiers, l'institution financière doit déterminer si cette confiance est compatible avec son appétit pour le risque et sa tolérance au risque. Une institution financière doit également tenir dûment compte des ressources système requises pour la prise en charge des contrôles cryptographiques et du risque de réduction de la visibilité du trafic réseau des données chiffrées. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour le cache de votre environnement API Gateway. Étant donné que des données sensibles peuvent être capturées pour la méthode API, activez le chiffrement au repos pour protéger ces données. | |
| 10,18 | Une institution financière doit faire preuve de diligence raisonnable et évaluer les contrôles cryptographiques associés à la technologie utilisée afin de protéger la confidentialité, l'intégrité, l'authentification, l'autorisation et la non-répudiation des informations. Lorsqu'une institution financière ne génère pas ses propres clés de chiffrement, elle doit prendre les mesures appropriées pour garantir la mise en place de contrôles et de processus robustes pour gérer les clés de chiffrement. Lorsque cela implique de s'appuyer sur des évaluations effectuées par des tiers, l'institution financière doit déterminer si cette confiance est compatible avec son appétit pour le risque et sa tolérance au risque. Une institution financière doit également tenir dûment compte des ressources système requises pour la prise en charge des contrôles cryptographiques et du risque de réduction de la visibilité du trafic réseau des données chiffrées. | Assurez-vous que les étapes de l'API REST Amazon API Gateway sont configurées avec des certificats SSL pour permettre aux systèmes backend d'authentifier que les demandes proviennent d'API Gateway. | |
| 10,18 | Une institution financière doit faire preuve de diligence raisonnable et évaluer les contrôles cryptographiques associés à la technologie utilisée afin de protéger la confidentialité, l'intégrité, l'authentification, l'autorisation et la non-répudiation des informations. Lorsqu'une institution financière ne génère pas ses propres clés de chiffrement, elle doit prendre les mesures appropriées pour garantir la mise en place de contrôles et de processus robustes pour gérer les clés de chiffrement. Lorsque cela implique de s'appuyer sur des évaluations effectuées par des tiers, l'institution financière doit déterminer si cette confiance est compatible avec son appétit pour le risque et sa tolérance au risque. Une institution financière doit également tenir dûment compte des ressources système requises pour la prise en charge des contrôles cryptographiques et du risque de réduction de la visibilité du trafic réseau des données chiffrées. | Assurez-vous que le chiffrement est activé pour vos points AWS de restauration Backup. Comme il peut y avoir des données sensibles au repos, activez le chiffrement au repos pour protéger ces données. | |
| 10,18 | Une institution financière doit faire preuve de diligence raisonnable et évaluer les contrôles cryptographiques associés à la technologie utilisée afin de protéger la confidentialité, l'intégrité, l'authentification, l'autorisation et la non-répudiation des informations. Lorsqu'une institution financière ne génère pas ses propres clés de chiffrement, elle doit prendre les mesures appropriées pour garantir la mise en place de contrôles et de processus robustes pour gérer les clés de chiffrement. Lorsque cela implique de s'appuyer sur des évaluations effectuées par des tiers, l'institution financière doit déterminer si cette confiance est compatible avec son appétit pour le risque et sa tolérance au risque. Une institution financière doit également tenir dûment compte des ressources système requises pour la prise en charge des contrôles cryptographiques et du risque de réduction de la visibilité du trafic réseau des données chiffrées. | Cette règle permet de garantir l'utilisation des meilleures pratiques de sécurité AWS recommandées pour AWS CloudTrail, en vérifiant l'activation de plusieurs paramètres. Il s'agit notamment de l'utilisation du chiffrement des journaux, de la validation des journaux et de AWS CloudTrail l'activation dans plusieurs régions. | |
| 10,18 | Une institution financière doit faire preuve de diligence raisonnable et évaluer les contrôles cryptographiques associés à la technologie utilisée afin de protéger la confidentialité, l'intégrité, l'authentification, l'autorisation et la non-répudiation des informations. Lorsqu'une institution financière ne génère pas ses propres clés de chiffrement, elle doit prendre les mesures appropriées pour garantir la mise en place de contrôles et de processus robustes pour gérer les clés de chiffrement. Lorsque cela implique de s'appuyer sur des évaluations effectuées par des tiers, l'institution financière doit déterminer si cette confiance est compatible avec son appétit pour le risque et sa tolérance au risque. Une institution financière doit également tenir dûment compte des ressources système requises pour la prise en charge des contrôles cryptographiques et du risque de réduction de la visibilité du trafic réseau des données chiffrées. | Pour protéger les données sensibles au repos, assurez-vous que le chiffrement est activé pour vos Amazon CloudWatch Log Groups. | |
| 10,18 | Une institution financière doit faire preuve de diligence raisonnable et évaluer les contrôles cryptographiques associés à la technologie utilisée afin de protéger la confidentialité, l'intégrité, l'authentification, l'autorisation et la non-répudiation des informations. Lorsqu'une institution financière ne génère pas ses propres clés de chiffrement, elle doit prendre les mesures appropriées pour garantir la mise en place de contrôles et de processus robustes pour gérer les clés de chiffrement. Lorsque cela implique de s'appuyer sur des évaluations effectuées par des tiers, l'institution financière doit déterminer si cette confiance est compatible avec son appétit pour le risque et sa tolérance au risque. Une institution financière doit également tenir dûment compte des ressources système requises pour la prise en charge des contrôles cryptographiques et du risque de réduction de la visibilité du trafic réseau des données chiffrées. | Activez la rotation des clés pour vous assurer que les clés sont pivotées une fois qu'elles ont atteint la fin de leur période de chiffrement. | |
| 10,18 | Une institution financière doit faire preuve de diligence raisonnable et évaluer les contrôles cryptographiques associés à la technologie utilisée afin de protéger la confidentialité, l'intégrité, l'authentification, l'autorisation et la non-répudiation des informations. Lorsqu'une institution financière ne génère pas ses propres clés de chiffrement, elle doit prendre les mesures appropriées pour garantir la mise en place de contrôles et de processus robustes pour gérer les clés de chiffrement. Lorsque cela implique de s'appuyer sur des évaluations effectuées par des tiers, l'institution financière doit déterminer si cette confiance est compatible avec son appétit pour le risque et sa tolérance au risque. Une institution financière doit également tenir dûment compte des ressources système requises pour la prise en charge des contrôles cryptographiques et du risque de réduction de la visibilité du trafic réseau des données chiffrées. | Assurez-vous que le chiffrement est activé pour vos tables Amazon DynamoDB. Comme il peut y avoir des données sensibles au repos dans ces tables, activez le chiffrement au repos pour protéger ces données. Par défaut, les tables DynamoDB sont chiffrées à l'aide AWS d'une clé principale propre au client (CMK). | |
| 10,18 | Une institution financière doit faire preuve de diligence raisonnable et évaluer les contrôles cryptographiques associés à la technologie utilisée afin de protéger la confidentialité, l'intégrité, l'authentification, l'autorisation et la non-répudiation des informations. Lorsqu'une institution financière ne génère pas ses propres clés de chiffrement, elle doit prendre les mesures appropriées pour garantir la mise en place de contrôles et de processus robustes pour gérer les clés de chiffrement. Lorsque cela implique de s'appuyer sur des évaluations effectuées par des tiers, l'institution financière doit déterminer si cette confiance est compatible avec son appétit pour le risque et sa tolérance au risque. Une institution financière doit également tenir dûment compte des ressources système requises pour la prise en charge des contrôles cryptographiques et du risque de réduction de la visibilité du trafic réseau des données chiffrées. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (Amazon EBS). Comme il peut y avoir des données sensibles au repos dans ces volumes, activez le chiffrement au repos pour protéger ces données. | |
| 10,18 | Une institution financière doit faire preuve de diligence raisonnable et évaluer les contrôles cryptographiques associés à la technologie utilisée afin de protéger la confidentialité, l'intégrité, l'authentification, l'autorisation et la non-répudiation des informations. Lorsqu'une institution financière ne génère pas ses propres clés de chiffrement, elle doit prendre les mesures appropriées pour garantir la mise en place de contrôles et de processus robustes pour gérer les clés de chiffrement. Lorsque cela implique de s'appuyer sur des évaluations effectuées par des tiers, l'institution financière doit déterminer si cette confiance est compatible avec son appétit pour le risque et sa tolérance au risque. Une institution financière doit également tenir dûment compte des ressources système requises pour la prise en charge des contrôles cryptographiques et du risque de réduction de la visibilité du trafic réseau des données chiffrées. | Comme il peut y avoir des données sensibles et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour votre Amazon Elastic File System (EFS). | |
| 10,18 | Une institution financière doit faire preuve de diligence raisonnable et évaluer les contrôles cryptographiques associés à la technologie utilisée afin de protéger la confidentialité, l'intégrité, l'authentification, l'autorisation et la non-répudiation des informations. Lorsqu'une institution financière ne génère pas ses propres clés de chiffrement, elle doit prendre les mesures appropriées pour garantir la mise en place de contrôles et de processus robustes pour gérer les clés de chiffrement. Lorsque cela implique de s'appuyer sur des évaluations effectuées par des tiers, l'institution financière doit déterminer si cette confiance est compatible avec son appétit pour le risque et sa tolérance au risque. Une institution financière doit également tenir dûment compte des ressources système requises pour la prise en charge des contrôles cryptographiques et du risque de réduction de la visibilité du trafic réseau des données chiffrées. | Comme il peut y avoir des données sensibles et pour protéger les données en transit, assurez-vous que le chiffrement est activé pour votre Elastic Load Balancing. Utilisez AWS Certificate Manager pour gérer, fournir et déployer des certificats SSL/TLS publics et privés avec des AWS services et des ressources internes. | |
| 10,18 | Une institution financière doit faire preuve de diligence raisonnable et évaluer les contrôles cryptographiques associés à la technologie utilisée afin de protéger la confidentialité, l'intégrité, l'authentification, l'autorisation et la non-répudiation des informations. Lorsqu'une institution financière ne génère pas ses propres clés de chiffrement, elle doit prendre les mesures appropriées pour garantir la mise en place de contrôles et de processus robustes pour gérer les clés de chiffrement. Lorsque cela implique de s'appuyer sur des évaluations effectuées par des tiers, l'institution financière doit déterminer si cette confiance est compatible avec son appétit pour le risque et sa tolérance au risque. Une institution financière doit également tenir dûment compte des ressources système requises pour la prise en charge des contrôles cryptographiques et du risque de réduction de la visibilité du trafic réseau des données chiffrées. | Comme il peut y avoir des données sensibles et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (Amazon EBS). | |
| 10,18 | Une institution financière doit faire preuve de diligence raisonnable et évaluer les contrôles cryptographiques associés à la technologie utilisée afin de protéger la confidentialité, l'intégrité, l'authentification, l'autorisation et la non-répudiation des informations. Lorsqu'une institution financière ne génère pas ses propres clés de chiffrement, elle doit prendre les mesures appropriées pour garantir la mise en place de contrôles et de processus robustes pour gérer les clés de chiffrement. Lorsque cela implique de s'appuyer sur des évaluations effectuées par des tiers, l'institution financière doit déterminer si cette confiance est compatible avec son appétit pour le risque et sa tolérance au risque. Une institution financière doit également tenir dûment compte des ressources système requises pour la prise en charge des contrôles cryptographiques et du risque de réduction de la visibilité du trafic réseau des données chiffrées. | Pour protéger les données au repos, assurez-vous que la suppression des clés principales du client (CMK) nécessaires n'est pas planifiée dans le service de gestion des AWS clés (AWS KMS). La suppression de clés étant parfois nécessaire, cette règle peut aider à vérifier toutes les clés dont la suppression est prévue, au cas où la suppression d'une clé aurait été planifiée par inadvertance. | |
| 10,18 | Une institution financière doit faire preuve de diligence raisonnable et évaluer les contrôles cryptographiques associés à la technologie utilisée afin de protéger la confidentialité, l'intégrité, l'authentification, l'autorisation et la non-répudiation des informations. Lorsqu'une institution financière ne génère pas ses propres clés de chiffrement, elle doit prendre les mesures appropriées pour garantir la mise en place de contrôles et de processus robustes pour gérer les clés de chiffrement. Lorsque cela implique de s'appuyer sur des évaluations effectuées par des tiers, l'institution financière doit déterminer si cette confiance est compatible avec son appétit pour le risque et sa tolérance au risque. Une institution financière doit également tenir dûment compte des ressources système requises pour la prise en charge des contrôles cryptographiques et du risque de réduction de la visibilité du trafic réseau des données chiffrées. | Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos domaines Amazon OpenSearch Service. | |
| 10,18 | Une institution financière doit faire preuve de diligence raisonnable et évaluer les contrôles cryptographiques associés à la technologie utilisée afin de protéger la confidentialité, l'intégrité, l'authentification, l'autorisation et la non-répudiation des informations. Lorsqu'une institution financière ne génère pas ses propres clés de chiffrement, elle doit prendre les mesures appropriées pour garantir la mise en place de contrôles et de processus robustes pour gérer les clés de chiffrement. Lorsque cela implique de s'appuyer sur des évaluations effectuées par des tiers, l'institution financière doit déterminer si cette confiance est compatible avec son appétit pour le risque et sa tolérance au risque. Une institution financière doit également tenir dûment compte des ressources système requises pour la prise en charge des contrôles cryptographiques et du risque de réduction de la visibilité du trafic réseau des données chiffrées. | Étant donné que des données sensibles peuvent exister et pour protéger les données en transit, assurez-vous que le protocole HTTPS est activé pour les connexions à vos domaines Amazon OpenSearch Service. | |
| 10,18 | Une institution financière doit faire preuve de diligence raisonnable et évaluer les contrôles cryptographiques associés à la technologie utilisée afin de protéger la confidentialité, l'intégrité, l'authentification, l'autorisation et la non-répudiation des informations. Lorsqu'une institution financière ne génère pas ses propres clés de chiffrement, elle doit prendre les mesures appropriées pour garantir la mise en place de contrôles et de processus robustes pour gérer les clés de chiffrement. Lorsque cela implique de s'appuyer sur des évaluations effectuées par des tiers, l'institution financière doit déterminer si cette confiance est compatible avec son appétit pour le risque et sa tolérance au risque. Une institution financière doit également tenir dûment compte des ressources système requises pour la prise en charge des contrôles cryptographiques et du risque de réduction de la visibilité du trafic réseau des données chiffrées. | Assurez-vous que node-to-node le chiffrement pour Amazon OpenSearch Service est activé. ode-to-node Le chiffrement N active le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (Amazon VPC). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| 10,18 | Une institution financière doit faire preuve de diligence raisonnable et évaluer les contrôles cryptographiques associés à la technologie utilisée afin de protéger la confidentialité, l'intégrité, l'authentification, l'autorisation et la non-répudiation des informations. Lorsqu'une institution financière ne génère pas ses propres clés de chiffrement, elle doit prendre les mesures appropriées pour garantir la mise en place de contrôles et de processus robustes pour gérer les clés de chiffrement. Lorsque cela implique de s'appuyer sur des évaluations effectuées par des tiers, l'institution financière doit déterminer si cette confiance est compatible avec son appétit pour le risque et sa tolérance au risque. Une institution financière doit également tenir dûment compte des ressources système requises pour la prise en charge des contrôles cryptographiques et du risque de réduction de la visibilité du trafic réseau des données chiffrées. | Assurez-vous que le chiffrement est activé pour vos instantanés Amazon Relational Database Service (Amazon RDS). Comme il peut y avoir des données sensibles au repos, activez le chiffrement au repos pour protéger ces données. | |
| 10,18 | Une institution financière doit faire preuve de diligence raisonnable et évaluer les contrôles cryptographiques associés à la technologie utilisée afin de protéger la confidentialité, l'intégrité, l'authentification, l'autorisation et la non-répudiation des informations. Lorsqu'une institution financière ne génère pas ses propres clés de chiffrement, elle doit prendre les mesures appropriées pour garantir la mise en place de contrôles et de processus robustes pour gérer les clés de chiffrement. Lorsque cela implique de s'appuyer sur des évaluations effectuées par des tiers, l'institution financière doit déterminer si cette confiance est compatible avec son appétit pour le risque et sa tolérance au risque. Une institution financière doit également tenir dûment compte des ressources système requises pour la prise en charge des contrôles cryptographiques et du risque de réduction de la visibilité du trafic réseau des données chiffrées. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos instances Amazon Relational Database Service (Amazon RDS). Comme il peut y avoir des données sensibles au repos dans les instances Amazon RDS, activez le chiffrement au repos pour protéger ces données. | |
| 10,18 | Une institution financière doit faire preuve de diligence raisonnable et évaluer les contrôles cryptographiques associés à la technologie utilisée afin de protéger la confidentialité, l'intégrité, l'authentification, l'autorisation et la non-répudiation des informations. Lorsqu'une institution financière ne génère pas ses propres clés de chiffrement, elle doit prendre les mesures appropriées pour garantir la mise en place de contrôles et de processus robustes pour gérer les clés de chiffrement. Lorsque cela implique de s'appuyer sur des évaluations effectuées par des tiers, l'institution financière doit déterminer si cette confiance est compatible avec son appétit pour le risque et sa tolérance au risque. Une institution financière doit également tenir dûment compte des ressources système requises pour la prise en charge des contrôles cryptographiques et du risque de réduction de la visibilité du trafic réseau des données chiffrées. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| 10,18 | Une institution financière doit faire preuve de diligence raisonnable et évaluer les contrôles cryptographiques associés à la technologie utilisée afin de protéger la confidentialité, l'intégrité, l'authentification, l'autorisation et la non-répudiation des informations. Lorsqu'une institution financière ne génère pas ses propres clés de chiffrement, elle doit prendre les mesures appropriées pour garantir la mise en place de contrôles et de processus robustes pour gérer les clés de chiffrement. Lorsque cela implique de s'appuyer sur des évaluations effectuées par des tiers, l'institution financière doit déterminer si cette confiance est compatible avec son appétit pour le risque et sa tolérance au risque. Une institution financière doit également tenir dûment compte des ressources système requises pour la prise en charge des contrôles cryptographiques et du risque de réduction de la visibilité du trafic réseau des données chiffrées. | Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWS KMS) est activé pour votre cluster Amazon Redshift. Comme il peut y avoir des données sensibles au repos dans les clusters Redshift, activez le chiffrement au repos pour protéger ces données. | |
| 10,18 | Une institution financière doit faire preuve de diligence raisonnable et évaluer les contrôles cryptographiques associés à la technologie utilisée afin de protéger la confidentialité, l'intégrité, l'authentification, l'autorisation et la non-répudiation des informations. Lorsqu'une institution financière ne génère pas ses propres clés de chiffrement, elle doit prendre les mesures appropriées pour garantir la mise en place de contrôles et de processus robustes pour gérer les clés de chiffrement. Lorsque cela implique de s'appuyer sur des évaluations effectuées par des tiers, l'institution financière doit déterminer si cette confiance est compatible avec son appétit pour le risque et sa tolérance au risque. Une institution financière doit également tenir dûment compte des ressources système requises pour la prise en charge des contrôles cryptographiques et du risque de réduction de la visibilité du trafic réseau des données chiffrées. | Assurez-vous que vos clusters Amazon Redshift nécessitent un chiffrement TLS/SSL pour se connecter aux clients SQL. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| 10,18 | Une institution financière doit faire preuve de diligence raisonnable et évaluer les contrôles cryptographiques associés à la technologie utilisée afin de protéger la confidentialité, l'intégrité, l'authentification, l'autorisation et la non-répudiation des informations. Lorsqu'une institution financière ne génère pas ses propres clés de chiffrement, elle doit prendre les mesures appropriées pour garantir la mise en place de contrôles et de processus robustes pour gérer les clés de chiffrement. Lorsque cela implique de s'appuyer sur des évaluations effectuées par des tiers, l'institution financière doit déterminer si cette confiance est compatible avec son appétit pour le risque et sa tolérance au risque. Une institution financière doit également tenir dûment compte des ressources système requises pour la prise en charge des contrôles cryptographiques et du risque de réduction de la visibilité du trafic réseau des données chiffrées. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans les compartiments Amazon S3, activez le chiffrement pour protéger ces données. | |
| 10,18 | Une institution financière doit faire preuve de diligence raisonnable et évaluer les contrôles cryptographiques associés à la technologie utilisée afin de protéger la confidentialité, l'intégrité, l'authentification, l'autorisation et la non-répudiation des informations. Lorsqu'une institution financière ne génère pas ses propres clés de chiffrement, elle doit prendre les mesures appropriées pour garantir la mise en place de contrôles et de processus robustes pour gérer les clés de chiffrement. Lorsque cela implique de s'appuyer sur des évaluations effectuées par des tiers, l'institution financière doit déterminer si cette confiance est compatible avec son appétit pour le risque et sa tolérance au risque. Une institution financière doit également tenir dûment compte des ressources système requises pour la prise en charge des contrôles cryptographiques et du risque de réduction de la visibilité du trafic réseau des données chiffrées. | Pour protéger les données en transit, assurez-vous que vos compartiments Amazon Simple Storage Service (Amazon S3) exigent que les demandes utilisent Secure Socket Layer (SSL). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| 10,18 | Une institution financière doit faire preuve de diligence raisonnable et évaluer les contrôles cryptographiques associés à la technologie utilisée afin de protéger la confidentialité, l'intégrité, l'authentification, l'autorisation et la non-répudiation des informations. Lorsqu'une institution financière ne génère pas ses propres clés de chiffrement, elle doit prendre les mesures appropriées pour garantir la mise en place de contrôles et de processus robustes pour gérer les clés de chiffrement. Lorsque cela implique de s'appuyer sur des évaluations effectuées par des tiers, l'institution financière doit déterminer si cette confiance est compatible avec son appétit pour le risque et sa tolérance au risque. Une institution financière doit également tenir dûment compte des ressources système requises pour la prise en charge des contrôles cryptographiques et du risque de réduction de la visibilité du trafic réseau des données chiffrées. | Assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans un compartiment Amazon S3, activez le chiffrement au repos pour protéger ces données. | |
| 10,18 | Une institution financière doit faire preuve de diligence raisonnable et évaluer les contrôles cryptographiques associés à la technologie utilisée afin de protéger la confidentialité, l'intégrité, l'authentification, l'autorisation et la non-répudiation des informations. Lorsqu'une institution financière ne génère pas ses propres clés de chiffrement, elle doit prendre les mesures appropriées pour garantir la mise en place de contrôles et de processus robustes pour gérer les clés de chiffrement. Lorsque cela implique de s'appuyer sur des évaluations effectuées par des tiers, l'institution financière doit déterminer si cette confiance est compatible avec son appétit pour le risque et sa tolérance au risque. Une institution financière doit également tenir dûment compte des ressources système requises pour la prise en charge des contrôles cryptographiques et du risque de réduction de la visibilité du trafic réseau des données chiffrées. | Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWS KMS) est activé pour votre SageMaker terminal. Étant donné que les données sensibles peuvent exister au repos sur le SageMaker terminal, activez le chiffrement au repos pour protéger ces données. | |
| 10,18 | Une institution financière doit faire preuve de diligence raisonnable et évaluer les contrôles cryptographiques associés à la technologie utilisée afin de protéger la confidentialité, l'intégrité, l'authentification, l'autorisation et la non-répudiation des informations. Lorsqu'une institution financière ne génère pas ses propres clés de chiffrement, elle doit prendre les mesures appropriées pour garantir la mise en place de contrôles et de processus robustes pour gérer les clés de chiffrement. Lorsque cela implique de s'appuyer sur des évaluations effectuées par des tiers, l'institution financière doit déterminer si cette confiance est compatible avec son appétit pour le risque et sa tolérance au risque. Une institution financière doit également tenir dûment compte des ressources système requises pour la prise en charge des contrôles cryptographiques et du risque de réduction de la visibilité du trafic réseau des données chiffrées. | Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWS KMS) est activé pour votre SageMaker ordinateur portable. Étant donné que des données sensibles peuvent exister au repos dans le SageMaker bloc-notes, activez le chiffrement au repos pour protéger ces données. | |
| 10,18 | Une institution financière doit faire preuve de diligence raisonnable et évaluer les contrôles cryptographiques associés à la technologie utilisée afin de protéger la confidentialité, l'intégrité, l'authentification, l'autorisation et la non-répudiation des informations. Lorsqu'une institution financière ne génère pas ses propres clés de chiffrement, elle doit prendre les mesures appropriées pour garantir la mise en place de contrôles et de processus robustes pour gérer les clés de chiffrement. Lorsque cela implique de s'appuyer sur des évaluations effectuées par des tiers, l'institution financière doit déterminer si cette confiance est compatible avec son appétit pour le risque et sa tolérance au risque. Une institution financière doit également tenir dûment compte des ressources système requises pour la prise en charge des contrôles cryptographiques et du risque de réduction de la visibilité du trafic réseau des données chiffrées. | Pour protéger les données au repos, assurez-vous que le chiffrement avec le AWS Key Management Service (AWS KMS) est activé pour les AWS secrets de Secrets Manager. Comme il peut y avoir des données sensibles au repos dans les secrets de Secrets Manager, activez le chiffrement au repos pour protéger ces données. | |
| 10,18 | Une institution financière doit faire preuve de diligence raisonnable et évaluer les contrôles cryptographiques associés à la technologie utilisée afin de protéger la confidentialité, l'intégrité, l'authentification, l'autorisation et la non-répudiation des informations. Lorsqu'une institution financière ne génère pas ses propres clés de chiffrement, elle doit prendre les mesures appropriées pour garantir la mise en place de contrôles et de processus robustes pour gérer les clés de chiffrement. Lorsque cela implique de s'appuyer sur des évaluations effectuées par des tiers, l'institution financière doit déterminer si cette confiance est compatible avec son appétit pour le risque et sa tolérance au risque. Une institution financière doit également tenir dûment compte des ressources système requises pour la prise en charge des contrôles cryptographiques et du risque de réduction de la visibilité du trafic réseau des données chiffrées. | Pour protéger les données au repos, assurez-vous que vos rubriques Amazon Simple Notification Service (Amazon SNS) nécessitent un chiffrement à l' AWS aide du Key Management Service AWS (KMS). Comme il peut y avoir des données sensibles au repos dans les messages publiés, activez le chiffrement au repos pour protéger ces données. | |
| 10,20 | Une institution financière doit stocker les clés cryptographiques publiques dans un certificat délivré par une autorité de certification, en fonction du niveau de risque. Ces certificats associés aux clients doivent être délivrés par des autorités de certification reconnues. L'institution financière doit veiller à ce que la mise en œuvre de protocoles d'authentification et de signature utilisant de tels certificats fasse l'objet d'une protection solide afin de garantir que l'utilisation de clés cryptographiques privées correspondant aux certificats utilisateur soit juridiquement contraignante et irréfutable. L'émission initiale et le renouvellement ultérieur de tels certificats doivent être conformes aux bonnes pratiques du secteur et aux spécifications légales/réglementaires applicables. | Assurez-vous que l'intégrité du réseau est protégée en vous assurant que les certificats X509 sont émis par AWS ACM. Ces certificats doivent être valides et non expirés. Cette règle nécessite une valeur pour daysToExpiration (valeur des meilleures pratiques de sécuritéAWS fondamentales : 90). La valeur réelle doit refléter les politiques de votre organisation. | |
| 10,20 | Une institution financière doit stocker les clés cryptographiques publiques dans un certificat délivré par une autorité de certification, en fonction du niveau de risque. Ces certificats associés aux clients doivent être délivrés par des autorités de certification reconnues. L'institution financière doit veiller à ce que la mise en œuvre de protocoles d'authentification et de signature utilisant de tels certificats fasse l'objet d'une protection solide afin de garantir que l'utilisation de clés cryptographiques privées correspondant aux certificats utilisateur soit juridiquement contraignante et irréfutable. L'émission initiale et le renouvellement ultérieur de tels certificats doivent être conformes aux bonnes pratiques du secteur et aux spécifications légales/réglementaires applicables. | Comme il peut y avoir des données sensibles et pour protéger les données en transit, assurez-vous que le chiffrement est activé pour votre Elastic Load Balancing. Utilisez AWS Certificate Manager pour gérer, fournir et déployer des certificats SSL/TLS publics et privés avec des AWS services et des ressources internes. | |
| 10,27 | Une institution financière doit établir des mécanismes de surveillance en temps réel pour suivre l'utilisation des capacités et les performances des processus, ainsi que des services clés. Ces mécanismes de surveillance doivent être capables de fournir des alertes rapides et exploitables aux administrateurs. | La surveillance de l'état Elastic Load Balancer (ELB) pour les groupes Auto Scaling Amazon Elastic Compute Cloud (Amazon EC2) permet de maintenir une capacité et une disponibilité adéquates. L'équilibreur de charge envoie périodiquement des pings, effectue des tentatives de connexion ou adresse des demandes pour tester l'état des instances Amazon EC2 dans un groupe Auto Scaling. Si une instance ne renvoie pas de rapport, le trafic est envoyé à une nouvelle instance Amazon EC2. | |
| 10,27 | Une institution financière doit établir des mécanismes de surveillance en temps réel pour suivre l'utilisation des capacités et les performances des processus, ainsi que des services clés. Ces mécanismes de surveillance doivent être capables de fournir des alertes rapides et exploitables aux administrateurs. | AWS Les rapports de santé améliorés d'Elastic Beanstalk permettent de réagir plus rapidement aux modifications de l'état de santé de l'infrastructure sous-jacente. Ces modifications peuvent entraîner un manque de disponibilité de l'application. Les rapports d'état améliorés Elastic Beanstalk fournissent un descripteur d'état permettant d'évaluer la gravité des problèmes identifiés et d'identifier les causes possibles à étudier. | |
| 10,27 | Une institution financière doit établir des mécanismes de surveillance en temps réel pour suivre l'utilisation des capacités et les performances des processus, ainsi que des services clés. Ces mécanismes de surveillance doivent être capables de fournir des alertes rapides et exploitables aux administrateurs. | Amazon CloudWatch émet une alerte lorsqu'un indicateur dépasse le seuil pour un certain nombre de périodes d'évaluation. L’alarme réalise une ou plusieurs actions en fonction de la valeur de la métrique ou de l’expression par rapport à un seuil sur un certain nombre de périodes. Cette règle nécessite une valeur pour alarmActionRequired (Config Default : True), insufficientDataAction Required (Config Default : True), okActionRequired (Config Default : False). La valeur réelle doit refléter les actions d'alarme de votre environnement. | |
| 10,27 | Une institution financière doit établir des mécanismes de surveillance en temps réel pour suivre l'utilisation des capacités et les performances des processus, ainsi que des services clés. Ces mécanismes de surveillance doivent être capables de fournir des alertes rapides et exploitables aux administrateurs. | Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des détails sur l'activité des appels d'API au sein de votre Compte AWS. | |
| 10,27 | Une institution financière doit établir des mécanismes de surveillance en temps réel pour suivre l'utilisation des capacités et les performances des processus, ainsi que des services clés. Ces mécanismes de surveillance doivent être capables de fournir des alertes rapides et exploitables aux administrateurs. | Activez cette règle pour vous assurer que la capacité de débit allouée est vérifiée sur vos tables Amazon DynamoDB. Il s'agit du volume d'activité de lecture/d'écriture que chaque table peut prendre en charge. DynamoDB utilise ces informations pour réserver des ressources système suffisantes pour répondre à vos exigences de débit. Cette règle génère une alerte lorsque le débit approche de la limite maximale pour le compte d'un client. Cette règle vous permet de définir éventuellement les paramètres AccountRCU (ThresholdPercentage Config Default : 80) et AccountWCU ThresholdPercentage (Config Default : 80). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| 10,27 | Une institution financière doit établir des mécanismes de surveillance en temps réel pour suivre l'utilisation des capacités et les performances des processus, ainsi que des services clés. Ces mécanismes de surveillance doivent être capables de fournir des alertes rapides et exploitables aux administrateurs. | Activez cette règle pour améliorer la surveillance des instances Amazon Elastic Compute Cloud (Amazon EC2) sur la console Amazon EC2, qui affiche des graphiques de surveillance toutes les minutes pour l'instance. | |
| 10,27 | Une institution financière doit établir des mécanismes de surveillance en temps réel pour suivre l'utilisation des capacités et les performances des processus, ainsi que des services clés. Ces mécanismes de surveillance doivent être capables de fournir des alertes rapides et exploitables aux administrateurs. | Cette règle assure que les limites de simultanéité élevées et basses d'une fonction Lambda ont été définies. Elle permet de référencer le nombre de demandes auxquelles votre fonction répond à un moment donné. | |
| 10,27 | Une institution financière doit établir des mécanismes de surveillance en temps réel pour suivre l'utilisation des capacités et les performances des processus, ainsi que des services clés. Ces mécanismes de surveillance doivent être capables de fournir des alertes rapides et exploitables aux administrateurs. | Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. OpenSearch Les journaux des erreurs de service peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité. | |
| 10,27 | Une institution financière doit établir des mécanismes de surveillance en temps réel pour suivre l'utilisation des capacités et les performances des processus, ainsi que des services clés. Ces mécanismes de surveillance doivent être capables de fournir des alertes rapides et exploitables aux administrateurs. | Activez Amazon Relational Database Service (Amazon RDS) pour surveiller la disponibilité d'Amazon RDS. Vous disposez ainsi d'une visibilité détaillée sur l'état de vos instances de base de données Amazon RDS. Lorsque le stockage Amazon RDS utilise plusieurs appareils physiques sous-jacents, Enhanced Monitoring collecte les données pour chaque appareil. En outre, lorsque l'instance de base de données Amazon RDS est exécutée dans le cadre d'un déploiement multi-AZ, les données de chaque appareil sur l'hôte secondaire sont collectées, ainsi que les métriques de l'hôte secondaire. | |
| 10,34 | Une institution financière doit veiller à ce que les services réseau de ses systèmes critiques soient fiables et exempts de SPOF afin de protéger les systèmes critiques contre les défaillances potentielles du réseau et les cybermenaces. | Cette règle garantit que la protection contre la suppression est activée pour Elastic Load Balancing. Utilisez cette fonctionnalité pour empêcher la suppression accidentelle ou malveillante de votre équilibreur de charge, ce qui pourrait entraîner une perte de disponibilité pour vos applications. | |
| 10,34 | Une institution financière doit veiller à ce que les services réseau de ses systèmes critiques soient fiables et exempts de SPOF afin de protéger les systèmes critiques contre les défaillances potentielles du réseau et les cybermenaces. | Des tunnels Site-to-Site VPN redondants peuvent être mis en œuvre pour répondre aux exigences de résilience. Deux tunnels sont utilisés pour garantir la connectivité au cas où l'une des connexions Site-to-Site VPN deviendrait indisponible. Pour bénéficier d'une protection contre la perte de connectivité en cas d'indisponibilité de votre passerelle client, vous pouvez configurer une seconde connexion Site-to-Site VPN vers votre réseau Amazon Virtual Private Cloud (Amazon VPC) et votre passerelle privée virtuelle en ajoutant une seconde passerelle client. | |
| 10,35 | Une institution financière doit établir des processus de surveillance de la bande passante du réseau en temps réel et des métriques de résilience du service réseau correspondantes pour signaler toute utilisation excessive de la bande passante et toute interruption du système résultant d'une surcharge de la bande passante ou de défaillances du réseau. Ces processus incluent l'analyse du trafic en vue de détecter les tendances et les anomalies. | AWS X-Ray collecte des données sur les demandes traitées par votre application et fournit des outils que vous pouvez utiliser pour visualiser, filtrer et obtenir des informations sur ces données afin d'identifier les problèmes et les opportunités d'optimisation. Assurez-vous que X-Ray est activé afin que vous puissiez consulter des informations détaillées non seulement sur la demande et la réponse, mais également sur les appels que votre application fait aux AWS ressources en aval, aux microservices, aux bases de données et aux API Web HTTP. | |
| 10,35 | Une institution financière doit établir des processus de surveillance de la bande passante du réseau en temps réel et des métriques de résilience du service réseau correspondantes pour signaler toute utilisation excessive de la bande passante et toute interruption du système résultant d'une surcharge de la bande passante ou de défaillances du réseau. Ces processus incluent l'analyse du trafic en vue de détecter les tendances et les anomalies. | Amazon CloudWatch émet une alerte lorsqu'un indicateur dépasse le seuil pour un certain nombre de périodes d'évaluation. L’alarme réalise une ou plusieurs actions en fonction de la valeur de la métrique ou de l’expression par rapport à un seuil sur un certain nombre de périodes. Cette règle nécessite une valeur pour alarmActionRequired (Config Default : True), insufficientDataAction Required (Config Default : True), okActionRequired (Config Default : False). La valeur réelle doit refléter les actions d'alarme de votre environnement. | |
| 10,35 | Une institution financière doit établir des processus de surveillance de la bande passante du réseau en temps réel et des métriques de résilience du service réseau correspondantes pour signaler toute utilisation excessive de la bande passante et toute interruption du système résultant d'une surcharge de la bande passante ou de défaillances du réseau. Ces processus incluent l'analyse du trafic en vue de détecter les tendances et les anomalies. | L'activité Elastic Load Balancing est un point de communication central au sein d'un environnement. Assurez-vous que la journalisation ELB est activée. Les données collectées fournissent des informations détaillées sur les demandes envoyées à l'ELB. Chaque journal contient des informations comme l'heure à laquelle la demande a été reçue, l'adresse IP du client, les latences, les chemins de demande et les réponses du serveur. | |
| 10,35 | Une institution financière doit établir des processus de surveillance de la bande passante du réseau en temps réel et des métriques de résilience du service réseau correspondantes pour signaler toute utilisation excessive de la bande passante et toute interruption du système résultant d'une surcharge de la bande passante ou de défaillances du réseau. Ces processus incluent l'analyse du trafic en vue de détecter les tendances et les anomalies. | Les journaux de flux VPC fournissent des informations détaillées sur le trafic IP circulant vers et depuis les interfaces réseau de votre réseau Amazon Virtual Private Cloud (Amazon VPC). Par défaut, le journal de flux inclut des valeurs pour les différents composants du flux IP, y compris la source, la destination et le protocole. | |
| 10,36 | Une institution financière doit veiller à ce que les services réseau prenant en charge les systèmes critiques sont conçus et mis en œuvre de manière à garantir la confidentialité, l'intégrité et la disponibilité des données. | Pour protéger les données en transit, assurez-vous que votre Application Load Balancer redirige automatiquement les requêtes HTTP non chiffrées vers HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| 10,36 | Une institution financière doit veiller à ce que les services réseau prenant en charge les systèmes critiques sont conçus et mis en œuvre de manière à garantir la confidentialité, l'intégrité et la disponibilité des données. | Assurez-vous que les étapes de l'API REST Amazon API Gateway sont configurées avec des certificats SSL pour permettre aux systèmes backend d'authentifier que les demandes proviennent d'API Gateway. | |
| 10,36 | Une institution financière doit veiller à ce que les services réseau prenant en charge les systèmes critiques sont conçus et mis en œuvre de manière à garantir la confidentialité, l'intégrité et la disponibilité des données. | Comme il peut y avoir des données sensibles et pour protéger les données en transit, assurez-vous que le chiffrement est activé pour votre Elastic Load Balancing. Utilisez AWS Certificate Manager pour gérer, fournir et déployer des certificats SSL/TLS publics et privés avec des AWS services et des ressources internes. | |
| 10,36 | Une institution financière doit veiller à ce que les services réseau prenant en charge les systèmes critiques sont conçus et mis en œuvre de manière à garantir la confidentialité, l'intégrité et la disponibilité des données. | Cette règle garantit que la protection contre la suppression est activée pour Elastic Load Balancing. Utilisez cette fonctionnalité pour empêcher la suppression accidentelle ou malveillante de votre équilibreur de charge, ce qui pourrait entraîner une perte de disponibilité pour vos applications. | |
| 10,36 | Une institution financière doit veiller à ce que les services réseau prenant en charge les systèmes critiques sont conçus et mis en œuvre de manière à garantir la confidentialité, l'intégrité et la disponibilité des données. | Activez l'équilibrage de charge entre zones pour vos Network Load Balancers (NLB) afin de maintenir une capacité et une disponibilité adéquates. L'équilibrage de charge entre zones réduit la nécessité de maintenir un nombre équivalent d'instances dans chaque zone de disponibilité activée. Cela améliore également la capacité de votre application à gérer la perte d'une ou de plusieurs instances. | |
| 10,38 | Une institution financière doit veiller à ce que des journaux de périphériques réseau suffisants et pertinents soient conservés pendant au moins trois ans à des fins d'enquêtes et d'analyse scientifique. | Assurez-vous que la durée minimale de conservation des données des journaux d'événements pour vos groupes de journaux est suffisante pour faciliter le dépannage et les enquêtes judiciaires. Le manque de données disponibles dans les journaux d'événements passés complique la reconstitution et l'identification des événements potentiellement malveillants. | |
| 10,51 | Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes. | Les informations d'identification sont auditées pour les appareils, les utilisateurs et les processus autorisés en veillant à ce que les clés d'accès IAM soient alternées conformément à la politique de l'organisation. La modification régulière des clés d'accès est une bonne pratique de sécurité. Cela permet de raccourcir la période pendant laquelle une clé d'accès est active et de réduire l'impact commercial en cas de compromission des clés. Cette règle nécessite une valeur de rotation des clés d'accès (configuration par défaut : 90). La valeur réelle doit refléter les politiques de votre organisation. | |
| 10,51 | Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes. | La gestion centralisée Comptes AWS au sein des AWS Organisations permet de garantir la conformité des comptes. L'absence de gouvernance centralisée des comptes peut entraîner des configurations de comptes incohérentes, ce qui peut exposer des ressources et des données sensibles. | |
| 10,51 | Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes. | Pour protéger les données en transit, assurez-vous que votre Application Load Balancer redirige automatiquement les requêtes HTTP non chiffrées vers HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| 10,51 | Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour le cache de votre environnement API Gateway. Étant donné que des données sensibles peuvent être capturées pour la méthode API, activez le chiffrement au repos pour protéger ces données. | |
| 10,51 | Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes. | Assurez-vous que les étapes de l'API REST Amazon API Gateway sont configurées avec des certificats SSL pour permettre aux systèmes backend d'authentifier que les demandes proviennent d'API Gateway. | |
| 10,51 | Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes. | Si vous configurez vos interfaces réseau avec une adresse IP publique, les ressources associées à ces interfaces réseau sont accessibles depuis Internet. Les ressources EC2 ne doivent pas être accessibles au public, car cela pourrait permettre un accès imprévu à vos applications ou à vos serveurs. | |
| 10,51 | Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes. | Assurez-vous que le chiffrement est activé pour vos points AWS de restauration Backup. Comme il peut y avoir des données sensibles au repos, activez le chiffrement au repos pour protéger ces données. | |
| 10,51 | Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes. | Cette règle permet de garantir l'utilisation des meilleures pratiques de sécurité AWS recommandées pour AWS CloudTrail, en vérifiant l'activation de plusieurs paramètres. Il s'agit notamment de l'utilisation du chiffrement des journaux, de la validation des journaux et de AWS CloudTrail l'activation dans plusieurs régions. | |
| 10,51 | Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes. | Pour protéger les données sensibles au repos, assurez-vous que le chiffrement est activé pour vos Amazon CloudWatch Log Groups. | |
| 10,51 | Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes. | Activez la rotation des clés pour vous assurer que les clés sont pivotées une fois qu'elles ont atteint la fin de leur période de chiffrement. | |
| 10,51 | Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes. | Gérez l'accès au AWS cloud en vous assurant que les instances de réplication DMS ne sont pas accessibles au public. Les instances de réplication DMS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| 10,51 | Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes. | Assurez-vous que le chiffrement est activé pour vos tables Amazon DynamoDB. Comme il peut y avoir des données sensibles au repos dans ces tables, activez le chiffrement au repos pour protéger ces données. Par défaut, les tables DynamoDB sont chiffrées à l'aide AWS d'une clé principale propre au client (CMK). | |
| 10,51 | Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes. | Gérez l'accès au AWS cloud en vous assurant que les instantanés EBS ne sont pas restaurables publiquement. Les instantanés des volumes EBS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| 10,51 | Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (Amazon EBS). Comme il peut y avoir des données sensibles au repos dans ces volumes, activez le chiffrement au repos pour protéger ces données. | |
| 10,51 | Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes. | Gérez l'accès au AWS cloud en vous assurant que les instances Amazon Elastic Compute Cloud (Amazon EC2) ne sont pas accessibles au public. Les instances Amazon EC2 peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| 10,51 | Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes. | Comme il peut y avoir des données sensibles et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour votre Amazon Elastic File System (EFS). | |
| 10,51 | Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes. | Comme il peut y avoir des données sensibles et pour protéger les données en transit, assurez-vous que le chiffrement est activé pour votre Elastic Load Balancing. Utilisez AWS Certificate Manager pour gérer, fournir et déployer des certificats SSL/TLS publics et privés avec des AWS services et des ressources internes. | |
| 10,51 | Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes. | Les autorisations d'accès peuvent être gérées et intégrées selon les principes du moindre privilège et de la séparation des tâches, en activant Kerberos pour les clusters Amazon EMR. Dans Kerberos, les services et utilisateurs qui ont besoin de s'authentifier sont appelés principaux. Les principaux existent au sein d'un domaine Kerberos. Dans le domaine, un serveur Kerberos est connu sous le nom de centre de diffusion des clés (KDC). Il fournit aux principaux un moyen de s'authentifier. Le KDC s'authentifie en émettant des tickets d'authentification. Il gère une base de données des principaux au sein de son domaine, leurs mots de passe, ainsi que d'autres informations administratives sur chaque principal. | |
| 10,51 | Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes. | Gérez l'accès au AWS cloud en vous assurant que les nœuds maîtres du cluster Amazon EMR ne sont pas accessibles au public. Les nœuds principaux du cluster Amazon EMR peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| 10,51 | Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes. | Comme il peut y avoir des données sensibles et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (Amazon EBS). | |
| 10,51 | Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes. | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en empêchant les politiques de contenir des actions bloquées sur toutes les AWS clés du Key Management Service. Avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms :). ReEncryptFrom Les valeurs réelles doivent refléter les politiques de votre organisation | |
| 10,51 | Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes. | Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée pour contrôler l'accès aux systèmes et aux actifs. AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions et la restauration, ainsi que la délégation de la gestion des autorisations. | |
| 10,51 | Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes. | Les identités et les informations d'identification sont émises, gérées et vérifiées conformément à une politique de mot de passe IAM organisationnelle. Ils respectent ou dépassent les exigences énoncées par le NIST SP 800-63 et par la norme AWS Foundational Security Best Practices en matière de robustesse des mots de passe. Cette règle vous permet de définir éventuellement RequireUppercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireLowercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireSymbols (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireNumbers (valeur des meilleures pratiques de sécurité de AWS base : vrai), MinimumPasswordLength (valeur des meilleures pratiques de sécurité de AWS base : 14), PasswordReusePrevention (valeur des meilleures pratiques de sécurité de AWS base : 24) et MaxPasswordAge (valeur des meilleures pratiques de sécurité de AWS base : 90) pour votre IAM Politique de mot de passe. Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| 10,51 | Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes. | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| 10,51 | Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes. | L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt la fonction basée sur Comptes AWS les rôles pour intégrer le principe de moindre fonctionnalité. | |
| 10,51 | Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes. | AWS Identity and Access Management (IAM) peut vous aider à restreindre les autorisations et autorisations d'accès, en veillant à ce que les utilisateurs IAM soient membres d'au moins un groupe. Accorder aux utilisateurs plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| 10,51 | Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes. | Activez cette règle pour restreindre l'accès aux ressources dans le AWS cloud. Cette règle garantit que l'authentification multifactorielle (MFA) est activée pour tous les utilisateurs IAM. L'authentification MFA ajoute une couche de sécurité supplémentaire, en plus d'un nom d'utilisateur et d'un mot de passe. Réduisez les incidents de comptes compromis en imposant la MFA aux utilisateurs IAM. | |
| 10,51 | Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes. | Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les risques qu'une identité reçoive ou conserve des privilèges excessifs. | |
| 10,51 | Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes. | AWS Identity and Access Management (IAM) peut vous aider à obtenir des autorisations et des autorisations d'accès en vérifiant les mots de passe et les clés d'accès IAM qui ne sont pas utilisés pendant une période donnée. Si de telles informations d'identification non utilisées sont identifiées, vous devez les désactiver et/ou les supprimer afin de ne pas risquer d'enfreindre le principe du moindre privilège. Cette règle vous oblige à définir une valeur sur maxCredentialUsage Age (Config Default : 90). La valeur réelle doit refléter les politiques de votre organisation. | |
| 10,51 | Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les passerelles Internet ne sont connectées qu'à Amazon Virtual Private Cloud (Amazon VPC) autorisé. Les passerelles Internet permettent un accès bidirectionnel à Internet depuis et vers le réseau Amazon VPC, ce qui peut potentiellement entraîner un accès non autorisé aux ressources Amazon VPC. | |
| 10,51 | Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes. | Pour protéger les données au repos, assurez-vous que la suppression des clés principales du client (CMK) nécessaires n'est pas planifiée dans le service de gestion des AWS clés (AWS KMS). La suppression de clés étant parfois nécessaire, cette règle peut aider à vérifier toutes les clés dont la suppression est prévue, au cas où la suppression d'une clé aurait été planifiée par inadvertance. | |
| 10,51 | Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les fonctions AWS Lambda ne sont pas accessibles au public. Un accès public peut potentiellement entraîner une dégradation de la disponibilité des ressources. | |
| 10,51 | Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes. | Déployez les fonctions AWS Lambda au sein d'un Amazon Virtual Private Cloud (Amazon VPC) pour une communication sécurisée entre une fonction et les autres services au sein d'Amazon VPC. Avec cette configuration, il n'est pas nécessaire d'avoir une passerelle Internet, un périphérique NAT ou une connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Pour gérer correctement l'accès, les fonctions AWS Lambda doivent être attribuées à un VPC. | |
| 10,51 | Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes. | Assurez-vous que les tables de routage Amazon EC2 ne disposent pas de routes illimitées vers une passerelle Internet. La suppression ou la limitation de l'accès à Internet pour les charges de travail au sein des réseaux Amazon VPC peut réduire les accès imprévus au sein de votre environnement. | |
| 10,51 | Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes. | Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos domaines Amazon OpenSearch Service. | |
| 10,51 | Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes. | Étant donné que des données sensibles peuvent exister et pour protéger les données en transit, assurez-vous que le protocole HTTPS est activé pour les connexions à vos domaines Amazon OpenSearch Service. | |
| 10,51 | Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes. | Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch Service se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine Amazon OpenSearch Service au sein d'un Amazon VPC permet une communication sécurisée entre Amazon OpenSearch Service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN. | |
| 10,51 | Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes. | Assurez-vous que node-to-node le chiffrement pour Amazon OpenSearch Service est activé. ode-to-node Le chiffrement N active le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (Amazon VPC). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| 10,51 | Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| 10,51 | Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| 10,51 | Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes. | Assurez-vous que le chiffrement est activé pour vos instantanés Amazon Relational Database Service (Amazon RDS). Comme il peut y avoir des données sensibles au repos, activez le chiffrement au repos pour protéger ces données. | |
| 10,51 | Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos instances Amazon Relational Database Service (Amazon RDS). Comme il peut y avoir des données sensibles au repos dans les instances Amazon RDS, activez le chiffrement au repos pour protéger ces données. | |
| 10,51 | Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| 10,51 | Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes. | Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWS KMS) est activé pour votre cluster Amazon Redshift. Comme il peut y avoir des données sensibles au repos dans les clusters Redshift, activez le chiffrement au repos pour protéger ces données. | |
| 10,51 | Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| 10,51 | Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes. | Le routage VPC amélioré oblige tout le trafic COPY et UNLOAD entre le cluster et les référentiels de données à passer par votre réseau Amazon VPC. Vous pouvez ensuite utiliser les fonctionnalités VPC, telles que les groupes de sécurité et les listes de contrôle d'accès réseau, pour sécuriser le trafic réseau. Vous pouvez également utiliser les journaux de flux VPC pour surveiller le trafic réseau. | |
| 10,51 | Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes. | Assurez-vous que vos clusters Amazon Redshift nécessitent un chiffrement TLS/SSL pour se connecter aux clients SQL. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| 10,51 | Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le matériel MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. L'authentification MFA ajoute une couche de sécurité supplémentaire pour un nom d'utilisateur et un mot de passe. En exigeant l'authentification MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission. Comptes AWS | |
| 10,51 | Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. L'authentification MFA ajoute une couche de sécurité supplémentaire pour un nom d'utilisateur et un mot de passe. En exigeant l'authentification MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission. Comptes AWS | |
| 10,51 | Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes. | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| 10,51 | Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes. | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
| 10,51 | Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes. | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
| 10,51 | Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans les compartiments Amazon S3, activez le chiffrement pour protéger ces données. | |
| 10,51 | Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes. | Pour protéger les données en transit, assurez-vous que vos compartiments Amazon Simple Storage Service (Amazon S3) exigent que les demandes utilisent Secure Socket Layer (SSL). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| 10,51 | Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes. | Assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans un compartiment Amazon S3, activez le chiffrement au repos pour protéger ces données. | |
| 10,51 | Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes. | Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWS KMS) est activé pour votre SageMaker terminal. Étant donné que les données sensibles peuvent exister au repos sur le SageMaker terminal, activez le chiffrement au repos pour protéger ces données. | |
| 10,51 | Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes. | Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWS KMS) est activé pour votre SageMaker ordinateur portable. Étant donné que des données sensibles peuvent exister au repos dans le SageMaker bloc-notes, activez le chiffrement au repos pour protéger ces données. | |
| 10,51 | Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les SageMaker blocs-notes Amazon ne permettent pas un accès direct à Internet. En empêchant l'accès direct à Internet, vous pouvez empêcher les utilisateurs non autorisés d'accéder à des données sensibles. | |
| 10,51 | Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes. | Pour protéger les données au repos, assurez-vous que vos rubriques Amazon Simple Notification Service (Amazon SNS) nécessitent un chiffrement à l' AWS aide du Key Management Service AWS (KMS). Comme il peut y avoir des données sensibles au repos dans les messages publiés, activez le chiffrement au repos pour protéger ces données. | |
| 10,51 | Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes. | Assurez-vous que AWS les documents de Systems Manager (SSM) ne sont pas publics, car cela peut permettre un accès involontaire à vos documents SSM. Un document SSM public peut exposer des informations sur votre compte, vos ressources et vos processus internes. | |
| 10,51 | Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes. | Gérez l'accès au AWS cloud en vous assurant qu'aucune adresse IP publique n'est automatiquement attribuée aux sous-réseaux Amazon Virtual Private Cloud (VPC). Les instances Amazon Elastic Compute Cloud (EC2) lancées dans des sous-réseaux pour lesquels cet attribut est activé ont une adresse IP publique attribuée à leur interface réseau principale. | |
| 10,52 | Une institution financière doit mettre en œuvre une politique de contrôle d'accès appropriée pour l'identification, l'authentification et l'autorisation des utilisateurs (utilisateurs internes et externes tels que les fournisseurs de services tiers). Cette politique doit couvrir les contrôles d'accès à la technologie à la fois logiques et physiques, lesquels sont proportionnels au niveau de risque d'accès non autorisé aux systèmes technologiques de cette institution | Les informations d'identification sont auditées pour les appareils, les utilisateurs et les processus autorisés en veillant à ce que les clés d'accès IAM soient alternées conformément à la politique de l'organisation. La modification régulière des clés d'accès est une bonne pratique de sécurité. Cela permet de raccourcir la période pendant laquelle une clé d'accès est active et de réduire l'impact commercial en cas de compromission des clés. Cette règle nécessite une valeur de rotation des clés d'accès (configuration par défaut : 90). La valeur réelle doit refléter les politiques de votre organisation. | |
| 10,52 | Une institution financière doit mettre en œuvre une politique de contrôle d'accès appropriée pour l'identification, l'authentification et l'autorisation des utilisateurs (utilisateurs internes et externes tels que les fournisseurs de services tiers). Cette politique doit couvrir les contrôles d'accès à la technologie à la fois logiques et physiques, lesquels sont proportionnels au niveau de risque d'accès non autorisé aux systèmes technologiques de cette institution | La gestion centralisée Comptes AWS au sein des AWS Organisations permet de garantir la conformité des comptes. L'absence de gouvernance centralisée des comptes peut entraîner des configurations de comptes incohérentes, ce qui peut exposer des ressources et des données sensibles. | |
| 10,52 | Une institution financière doit mettre en œuvre une politique de contrôle d'accès appropriée pour l'identification, l'authentification et l'autorisation des utilisateurs (utilisateurs internes et externes tels que les fournisseurs de services tiers). Cette politique doit couvrir les contrôles d'accès à la technologie à la fois logiques et physiques, lesquels sont proportionnels au niveau de risque d'accès non autorisé aux systèmes technologiques de cette institution | Les profils d'instance EC2 transmettent un rôle IAM à une instance EC2. L'association d'un profil d'instance à vos instances peut faciliter la gestion du moindre privilège et des autorisations. | |
| 10,52 | Une institution financière doit mettre en œuvre une politique de contrôle d'accès appropriée pour l'identification, l'authentification et l'autorisation des utilisateurs (utilisateurs internes et externes tels que les fournisseurs de services tiers). Cette politique doit couvrir les contrôles d'accès à la technologie à la fois logiques et physiques, lesquels sont proportionnels au niveau de risque d'accès non autorisé aux systèmes technologiques de cette institution | Les autorisations d'accès peuvent être gérées et intégrées selon les principes du moindre privilège et de la séparation des tâches, en activant Kerberos pour les clusters Amazon EMR. Dans Kerberos, les services et utilisateurs qui ont besoin de s'authentifier sont appelés principaux. Les principaux existent au sein d'un domaine Kerberos. Dans le domaine, un serveur Kerberos est connu sous le nom de centre de diffusion des clés (KDC). Il fournit aux principaux un moyen de s'authentifier. Le KDC s'authentifie en émettant des tickets d'authentification. Il gère une base de données des principaux au sein de son domaine, leurs mots de passe, ainsi que d'autres informations administratives sur chaque principal. | |
| 10,52 | Une institution financière doit mettre en œuvre une politique de contrôle d'accès appropriée pour l'identification, l'authentification et l'autorisation des utilisateurs (utilisateurs internes et externes tels que les fournisseurs de services tiers). Cette politique doit couvrir les contrôles d'accès à la technologie à la fois logiques et physiques, lesquels sont proportionnels au niveau de risque d'accès non autorisé aux systèmes technologiques de cette institution | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en empêchant les politiques de contenir des actions bloquées sur toutes les AWS clés du Key Management Service. Avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms :). ReEncryptFrom Les valeurs réelles doivent refléter les politiques de votre organisation | |
| 10,52 | Une institution financière doit mettre en œuvre une politique de contrôle d'accès appropriée pour l'identification, l'authentification et l'autorisation des utilisateurs (utilisateurs internes et externes tels que les fournisseurs de services tiers). Cette politique doit couvrir les contrôles d'accès à la technologie à la fois logiques et physiques, lesquels sont proportionnels au niveau de risque d'accès non autorisé aux systèmes technologiques de cette institution | Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée pour contrôler l'accès aux systèmes et aux actifs. AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions et la restauration, ainsi que la délégation de la gestion des autorisations. | |
| 10,52 | Une institution financière doit mettre en œuvre une politique de contrôle d'accès appropriée pour l'identification, l'authentification et l'autorisation des utilisateurs (utilisateurs internes et externes tels que les fournisseurs de services tiers). Cette politique doit couvrir les contrôles d'accès à la technologie à la fois logiques et physiques, lesquels sont proportionnels au niveau de risque d'accès non autorisé aux systèmes technologiques de cette institution | Les identités et les informations d'identification sont émises, gérées et vérifiées conformément à une politique de mot de passe IAM organisationnelle. Ils respectent ou dépassent les exigences énoncées par le NIST SP 800-63 et par la norme AWS Foundational Security Best Practices en matière de robustesse des mots de passe. Cette règle vous permet de définir éventuellement RequireUppercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireLowercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireSymbols (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireNumbers (valeur des meilleures pratiques de sécurité de AWS base : vrai), MinimumPasswordLength (valeur des meilleures pratiques de sécurité de AWS base : 14), PasswordReusePrevention (valeur des meilleures pratiques de sécurité de AWS base : 24) et MaxPasswordAge (valeur des meilleures pratiques de sécurité de AWS base : 90) pour votre IAM Politique de mot de passe. Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| 10,52 | Une institution financière doit mettre en œuvre une politique de contrôle d'accès appropriée pour l'identification, l'authentification et l'autorisation des utilisateurs (utilisateurs internes et externes tels que les fournisseurs de services tiers). Cette politique doit couvrir les contrôles d'accès à la technologie à la fois logiques et physiques, lesquels sont proportionnels au niveau de risque d'accès non autorisé aux systèmes technologiques de cette institution | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| 10,52 | Une institution financière doit mettre en œuvre une politique de contrôle d'accès appropriée pour l'identification, l'authentification et l'autorisation des utilisateurs (utilisateurs internes et externes tels que les fournisseurs de services tiers). Cette politique doit couvrir les contrôles d'accès à la technologie à la fois logiques et physiques, lesquels sont proportionnels au niveau de risque d'accès non autorisé aux systèmes technologiques de cette institution | L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt la fonction basée sur Comptes AWS les rôles pour intégrer le principe de moindre fonctionnalité. | |
| 10,52 | Une institution financière doit mettre en œuvre une politique de contrôle d'accès appropriée pour l'identification, l'authentification et l'autorisation des utilisateurs (utilisateurs internes et externes tels que les fournisseurs de services tiers). Cette politique doit couvrir les contrôles d'accès à la technologie à la fois logiques et physiques, lesquels sont proportionnels au niveau de risque d'accès non autorisé aux systèmes technologiques de cette institution | AWS Identity and Access Management (IAM) peut vous aider à restreindre les autorisations et autorisations d'accès, en veillant à ce que les utilisateurs IAM soient membres d'au moins un groupe. Accorder aux utilisateurs plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| 10,52 | Une institution financière doit mettre en œuvre une politique de contrôle d'accès appropriée pour l'identification, l'authentification et l'autorisation des utilisateurs (utilisateurs internes et externes tels que les fournisseurs de services tiers). Cette politique doit couvrir les contrôles d'accès à la technologie à la fois logiques et physiques, lesquels sont proportionnels au niveau de risque d'accès non autorisé aux systèmes technologiques de cette institution | Activez cette règle pour restreindre l'accès aux ressources dans le AWS cloud. Cette règle garantit que l'authentification multifactorielle (MFA) est activée pour tous les utilisateurs IAM. L'authentification MFA ajoute une couche de sécurité supplémentaire, en plus d'un nom d'utilisateur et d'un mot de passe. Réduisez les incidents de comptes compromis en imposant la MFA aux utilisateurs IAM. | |
| 10,52 | Une institution financière doit mettre en œuvre une politique de contrôle d'accès appropriée pour l'identification, l'authentification et l'autorisation des utilisateurs (utilisateurs internes et externes tels que les fournisseurs de services tiers). Cette politique doit couvrir les contrôles d'accès à la technologie à la fois logiques et physiques, lesquels sont proportionnels au niveau de risque d'accès non autorisé aux systèmes technologiques de cette institution | Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les risques qu'une identité reçoive ou conserve des privilèges excessifs. | |
| 10,52 | Une institution financière doit mettre en œuvre une politique de contrôle d'accès appropriée pour l'identification, l'authentification et l'autorisation des utilisateurs (utilisateurs internes et externes tels que les fournisseurs de services tiers). Cette politique doit couvrir les contrôles d'accès à la technologie à la fois logiques et physiques, lesquels sont proportionnels au niveau de risque d'accès non autorisé aux systèmes technologiques de cette institution. | AWS Identity and Access Management (IAM) peut vous aider à obtenir des autorisations et des autorisations d'accès en vérifiant les mots de passe et les clés d'accès IAM qui ne sont pas utilisés pendant une période donnée. Si de telles informations d'identification non utilisées sont identifiées, vous devez les désactiver et/ou les supprimer afin de ne pas risquer d'enfreindre le principe du moindre privilège. Cette règle vous oblige à définir une valeur sur maxCredentialUsage Age (Config Default : 90). La valeur réelle doit refléter les politiques de votre organisation. | |
| 10,52 | Une institution financière doit mettre en œuvre une politique de contrôle d'accès appropriée pour l'identification, l'authentification et l'autorisation des utilisateurs (utilisateurs internes et externes tels que les fournisseurs de services tiers). Cette politique doit couvrir les contrôles d'accès à la technologie à la fois logiques et physiques, lesquels sont proportionnels au niveau de risque d'accès non autorisé aux systèmes technologiques de cette institution | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le matériel MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. L'authentification MFA ajoute une couche de sécurité supplémentaire pour un nom d'utilisateur et un mot de passe. En exigeant l'authentification MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission. Comptes AWS | |
| 10,52 | Une institution financière doit mettre en œuvre une politique de contrôle d'accès appropriée pour l'identification, l'authentification et l'autorisation des utilisateurs (utilisateurs internes et externes tels que les fournisseurs de services tiers). Cette politique doit couvrir les contrôles d'accès à la technologie à la fois logiques et physiques, lesquels sont proportionnels au niveau de risque d'accès non autorisé aux systèmes technologiques de cette institution | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. L'authentification MFA ajoute une couche de sécurité supplémentaire pour un nom d'utilisateur et un mot de passe. En exigeant l'authentification MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission. Comptes AWS | |
| 10.53(b)(h)(i) | En respectant le paragraphe 10.52, une institution financière doit tenir compte des principes suivants dans sa politique de contrôle d'accès : (b) utiliser les droits d'accès « minimaux » ou sur une base « need-to-have » où seules les autorisations minimales suffisantes sont accordées aux utilisateurs légitimes pour exercer leurs rôles ; (h) limiter et contrôler le partage des identifiants utilisateur et des mots de passe entre plusieurs utilisateurs ; et (i) contrôler l'utilisation de conventions génériques de dénomination des identifiants d'utilisateur en faveur d'identifiants plus personnels. | L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt la fonction basée sur Comptes AWS les rôles pour intégrer le principe de moindre fonctionnalité. | |
| 10.53(b) | En respectant le paragraphe 10.52, une institution financière doit tenir compte des principes suivants dans sa politique de contrôle d'accès : (b) utiliser le droit d'accès « du moindre privilège » ou sur une base « need-to-have » selon laquelle seules les autorisations minimales suffisantes sont accordées aux utilisateurs légitimes pour qu'ils remplissent leurs rôles ; | Les profils d'instance EC2 transmettent un rôle IAM à une instance EC2. L'association d'un profil d'instance à vos instances peut faciliter la gestion du moindre privilège et des autorisations. | |
| 10.53(b) | En respectant le paragraphe 10.52, une institution financière doit tenir compte des principes suivants dans sa politique de contrôle d'accès : (b) utiliser le droit d'accès « du moindre privilège » ou sur une base « need-to-have » selon laquelle seules les autorisations minimales suffisantes sont accordées aux utilisateurs légitimes pour qu'ils remplissent leurs rôles ; | Les autorisations d'accès peuvent être gérées et intégrées selon les principes du moindre privilège et de la séparation des tâches, en activant Kerberos pour les clusters Amazon EMR. Dans Kerberos, les services et utilisateurs qui ont besoin de s'authentifier sont appelés principaux. Les principaux existent au sein d'un domaine Kerberos. Dans le domaine, un serveur Kerberos est connu sous le nom de centre de diffusion des clés (KDC). Il fournit aux principaux un moyen de s'authentifier. Le KDC s'authentifie en émettant des tickets d'authentification. Il gère une base de données des principaux au sein de son domaine, leurs mots de passe, ainsi que d'autres informations administratives sur chaque principal. | |
| 10.53(b) | En respectant le paragraphe 10.52, une institution financière doit tenir compte des principes suivants dans sa politique de contrôle d'accès : (b) utiliser le droit d'accès « du moindre privilège » ou sur une base « need-to-have » selon laquelle seules les autorisations minimales suffisantes sont accordées aux utilisateurs légitimes pour qu'ils remplissent leurs rôles ; | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en empêchant les politiques de contenir des actions bloquées sur toutes les AWS clés du Key Management Service. Avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms :). ReEncryptFrom Les valeurs réelles doivent refléter les politiques de votre organisation | |
| 10.53(b) | En respectant le paragraphe 10.52, une institution financière doit tenir compte des principes suivants dans sa politique de contrôle d'accès : (b) utiliser le droit d'accès « du moindre privilège » ou sur une base « need-to-have » selon laquelle seules les autorisations minimales suffisantes sont accordées aux utilisateurs légitimes pour qu'ils remplissent leurs rôles ; | Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée pour contrôler l'accès aux systèmes et aux actifs. AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions et la restauration, ainsi que la délégation de la gestion des autorisations. | |
| 10.53(b) | En respectant le paragraphe 10.52, une institution financière doit tenir compte des principes suivants dans sa politique de contrôle d'accès : (b) utiliser le droit d'accès « du moindre privilège » ou sur une base « need-to-have » selon laquelle seules les autorisations minimales suffisantes sont accordées aux utilisateurs légitimes pour qu'ils remplissent leurs rôles ; | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| 10.53(b) | En respectant le paragraphe 10.52, une institution financière doit tenir compte des principes suivants dans sa politique de contrôle d'accès : (b) utiliser le droit d'accès « du moindre privilège » ou sur une base « need-to-have » selon laquelle seules les autorisations minimales suffisantes sont accordées aux utilisateurs légitimes pour qu'ils remplissent leurs rôles ; | AWS Identity and Access Management (IAM) peut vous aider à restreindre les autorisations et autorisations d'accès, en veillant à ce que les utilisateurs IAM soient membres d'au moins un groupe. Accorder aux utilisateurs plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| 10.53(b) | En respectant le paragraphe 10.52, une institution financière doit tenir compte des principes suivants dans sa politique de contrôle d'accès : (b) utiliser le droit d'accès « du moindre privilège » ou sur une base « need-to-have » selon laquelle seules les autorisations minimales suffisantes sont accordées aux utilisateurs légitimes pour qu'ils remplissent leurs rôles ; | Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les risques qu'une identité reçoive ou conserve des privilèges excessifs. | |
| 10.53(c)(f) | Conformément au paragraphe 10.52, une institution financière doit intégrer les principes suivants à sa politique de contrôle d'accès : (c) utiliser des droits d'accès limités dans le temps qui restreignent l'accès à une période spécifique, y compris les droits d'accès accordés aux fournisseurs de services ; (f) appliquer une authentification plus stricte pour les activités critiques, notamment l'accès à distance | Les identités et les informations d'identification sont émises, gérées et vérifiées conformément à une politique de mot de passe IAM organisationnelle. Ils respectent ou dépassent les exigences énoncées par le NIST SP 800-63 et par la norme AWS Foundational Security Best Practices en matière de robustesse des mots de passe. Cette règle vous permet de définir éventuellement RequireUppercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireLowercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireSymbols (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireNumbers (valeur des meilleures pratiques de sécurité de AWS base : vrai), MinimumPasswordLength (valeur des meilleures pratiques de sécurité de AWS base : 14), PasswordReusePrevention (valeur des meilleures pratiques de sécurité de AWS base : 24) et MaxPasswordAge (valeur des meilleures pratiques de sécurité de AWS base : 90) pour votre IAM Politique de mot de passe. Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| 10.53(f)(h) | Conformément au paragraphe 10.52, une institution financière doit intégrer les principes suivants à sa politique de contrôle d'accès : (f) adopter une authentification plus stricte pour les activités critiques, notamment pour l'accès à distance ; (h) limiter et contrôler le partage des identifiants d'utilisateur et des mots de passe entre plusieurs utilisateurs | Activez cette règle pour restreindre l'accès aux ressources dans le AWS cloud. Cette règle garantit que l'authentification multifactorielle (MFA) est activée pour tous les utilisateurs IAM. L'authentification MFA ajoute une couche de sécurité supplémentaire, en plus d'un nom d'utilisateur et d'un mot de passe. Réduisez les incidents de comptes compromis en imposant la MFA aux utilisateurs IAM. | |
| 10.53(f)(h) | Conformément au paragraphe 10.54, une institution financière doit intégrer les principes suivants à sa politique de contrôle d'accès : (f) adopter une authentification plus stricte pour les activités critiques, notamment pour l'accès à distance ; (h) limiter et contrôler le partage des identifiants d'utilisateur et des mots de passe entre plusieurs utilisateurs | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le matériel MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. L'authentification MFA ajoute une couche de sécurité supplémentaire pour un nom d'utilisateur et un mot de passe. En exigeant l'authentification MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission. Comptes AWS | |
| 10.53(f)(h) | Conformément au paragraphe 10.54, une institution financière doit intégrer les principes suivants à sa politique de contrôle d'accès : (f) adopter une authentification plus stricte pour les activités critiques, notamment pour l'accès à distance ; (h) limiter et contrôler le partage des identifiants d'utilisateur et des mots de passe entre plusieurs utilisateurs | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. L'authentification MFA ajoute une couche de sécurité supplémentaire pour un nom d'utilisateur et un mot de passe. En exigeant l'authentification MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission. Comptes AWS | |
| 10,54 | Une institution financière doit utiliser des processus d'authentification robustes pour garantir l'authenticité des identités utilisées. Les mécanismes d'authentification doivent être proportionnels à la criticité des fonctions et adopter au moins un de ces trois facteurs d'authentification de base, à savoir ce que l'utilisateur connaît (par exemple un mot de passe, un code PIN), un élément qu'il possède (par exemple une carte à puce, un dispositif de sécurité) et ce qu'il est (par exemple, des caractéristiques biométriques, telles qu'une empreinte digitale ou un motif rétinien). | Activez cette règle pour restreindre l'accès aux ressources dans le AWS cloud. Cette règle garantit que l'authentification multifactorielle (MFA) est activée pour tous les utilisateurs IAM. L'authentification MFA ajoute une couche de sécurité supplémentaire, en plus d'un nom d'utilisateur et d'un mot de passe. Réduisez les incidents de comptes compromis en imposant la MFA aux utilisateurs IAM. | |
| 10,54 | Une institution financière doit utiliser des processus d'authentification robustes pour garantir l'authenticité des identités utilisées. Les mécanismes d'authentification doivent être proportionnels à la criticité des fonctions et adopter au moins un de ces trois facteurs d'authentification de base, à savoir ce que l'utilisateur connaît (par exemple un mot de passe, un code PIN), un élément qu'il possède (par exemple une carte à puce, un dispositif de sécurité) et ce qu'il est (par exemple, des caractéristiques biométriques, telles qu'une empreinte digitale ou un motif rétinien). | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le matériel MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. L'authentification MFA ajoute une couche de sécurité supplémentaire pour un nom d'utilisateur et un mot de passe. En exigeant l'authentification MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission. Comptes AWS | |
| 10,54 | Une institution financière doit utiliser des processus d'authentification robustes pour garantir l'authenticité des identités utilisées. Les mécanismes d'authentification doivent être proportionnels à la criticité des fonctions et adopter au moins un de ces trois facteurs d'authentification de base, à savoir ce que l'utilisateur connaît (par exemple un mot de passe, un code PIN), un élément qu'il possède (par exemple une carte à puce, un dispositif de sécurité) et ce qu'il est (par exemple, des caractéristiques biométriques, telles qu'une empreinte digitale ou un motif rétinien). | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. L'authentification MFA ajoute une couche de sécurité supplémentaire pour un nom d'utilisateur et un mot de passe. En exigeant l'authentification MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission. Comptes AWS | |
| 10,55 | Une institution financière doit revoir et adapter régulièrement ses pratiques en matière de mots de passe afin de renforcer sa résilience face à l'évolution des attaques. Ces pratiques comprennent la génération efficace et sécurisée des mots de passe. Des contrôles appropriés doivent être mis en place pour vérifier le niveau de sécurité des mots de passe créés. | Les identités et les informations d'identification sont émises, gérées et vérifiées conformément à une politique de mot de passe IAM organisationnelle. Ils respectent ou dépassent les exigences énoncées par le NIST SP 800-63 et par la norme AWS Foundational Security Best Practices en matière de robustesse des mots de passe. Cette règle vous permet de définir éventuellement RequireUppercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireLowercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireSymbols (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireNumbers (valeur des meilleures pratiques de sécurité de AWS base : vrai), MinimumPasswordLength (valeur des meilleures pratiques de sécurité de AWS base : 14), PasswordReusePrevention (valeur des meilleures pratiques de sécurité de AWS base : 24) et MaxPasswordAge (valeur des meilleures pratiques de sécurité de AWS base : 90) pour votre IAM Politique de mot de passe. Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| 10,56 | Les méthodes d'authentification qui dépendent de plusieurs facteurs sont généralement plus difficiles à compromettre qu'un système utilisant un seul facteur. Dans cette optique, les institutions financières sont encouragées à concevoir et à mettre en œuvre (en particulier dans les systèmes à haut risque ou utilisant l'« authentification unique ») une authentification multifactorielle (MFA) plus fiable et plus dissuasive contre la fraude | Activez cette règle pour restreindre l'accès aux ressources dans le AWS cloud. Cette règle garantit que l'authentification multifactorielle (MFA) est activée pour tous les utilisateurs IAM. L'authentification MFA ajoute une couche de sécurité supplémentaire, en plus d'un nom d'utilisateur et d'un mot de passe. Réduisez les incidents de comptes compromis en imposant la MFA aux utilisateurs IAM. | |
| 10,56 | Les méthodes d'authentification qui dépendent de plusieurs facteurs sont généralement plus difficiles à compromettre qu'un système utilisant un seul facteur. Dans cette optique, les institutions financières sont encouragées à concevoir et à mettre en œuvre (en particulier dans les systèmes à haut risque ou utilisant l'« authentification unique ») une authentification multifactorielle (MFA) plus fiable et plus dissuasive contre la fraude | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le matériel MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. L'authentification MFA ajoute une couche de sécurité supplémentaire pour un nom d'utilisateur et un mot de passe. En exigeant l'authentification MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission. Comptes AWS | |
| 10,56 | Les méthodes d'authentification qui dépendent de plusieurs facteurs sont généralement plus difficiles à compromettre qu'un système utilisant un seul facteur. Dans cette optique, les institutions financières sont encouragées à concevoir et à mettre en œuvre (en particulier dans les systèmes à haut risque ou utilisant l'« authentification unique ») une authentification multifactorielle (MFA) plus fiable et plus dissuasive contre la fraude | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. L'authentification MFA ajoute une couche de sécurité supplémentaire pour un nom d'utilisateur et un mot de passe. En exigeant l'authentification MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission. Comptes AWS | |
| 10,59 | Une institution financière doit veiller à ce que (a) les contrôles d'accès aux systèmes à l'échelle de l'entreprise soient gérés et surveillés efficacement ; et (b) les activités des utilisateurs dans les systèmes critiques soient journalisées à des fins d'audit et d'enquêtes. Les journaux d'activité doivent être conservés pendant au moins trois ans et révisés régulièrement en temps opportun. | Les informations d'identification sont auditées pour les appareils, les utilisateurs et les processus autorisés en veillant à ce que les clés d'accès IAM soient alternées conformément à la politique de l'organisation. La modification régulière des clés d'accès est une bonne pratique de sécurité. Cela permet de raccourcir la période pendant laquelle une clé d'accès est active et de réduire l'impact commercial en cas de compromission des clés. Cette règle nécessite une valeur de rotation des clés d'accès (configuration par défaut : 90). La valeur réelle doit refléter les politiques de votre organisation. | |
| 10,59 | Une institution financière doit veiller à ce que (a) les contrôles d'accès aux systèmes à l'échelle de l'entreprise soient gérés et surveillés efficacement ; et (b) les activités des utilisateurs dans les systèmes critiques soient journalisées à des fins d'audit et d'enquêtes. Les journaux d'activité doivent être conservés pendant au moins trois ans et révisés régulièrement en temps opportun. | La gestion centralisée Comptes AWS au sein des AWS Organisations permet de garantir la conformité des comptes. L'absence de gouvernance centralisée des comptes peut entraîner des configurations de comptes incohérentes, ce qui peut exposer des ressources et des données sensibles. | |
| 10,59 | Une institution financière doit veiller à ce que (a) les contrôles d'accès aux systèmes à l'échelle de l'entreprise soient gérés et surveillés efficacement ; et (b) les activités des utilisateurs dans les systèmes critiques soient journalisées à des fins d'audit et d'enquêtes. Les journaux d'activité doivent être conservés pendant au moins trois ans et révisés régulièrement en temps opportun. | La journalisation d'API Gateway affiche des vues détaillées des utilisateurs qui ont accédé à l'API et de la manière dont ils y ont accédé. Ces informations offrent une visibilité sur les activités des utilisateurs. | |
| 10,59 | Une institution financière doit veiller à ce que (a) les contrôles d'accès aux systèmes à l'échelle de l'entreprise soient gérés et surveillés efficacement ; et (b) les activités des utilisateurs dans les systèmes critiques soient journalisées à des fins d'audit et d'enquêtes. Les journaux d'activité doivent être conservés pendant au moins trois ans et révisés régulièrement en temps opportun. | La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les Compte AWS informations qui ont accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement. | |
| 10,59 | Une institution financière doit veiller à ce que (a) les contrôles d'accès aux systèmes à l'échelle de l'entreprise soient gérés et surveillés efficacement ; et (b) les activités des utilisateurs dans les systèmes critiques soient journalisées à des fins d'audit et d'enquêtes. Les journaux d'activité doivent être conservés pendant au moins trois ans et révisés régulièrement en temps opportun. | Cette règle permet de garantir l'utilisation des meilleures pratiques de sécurité AWS recommandées pour AWS CloudTrail, en vérifiant l'activation de plusieurs paramètres. Il s'agit notamment de l'utilisation du chiffrement des journaux, de la validation des journaux et de AWS CloudTrail l'activation dans plusieurs régions. | |
| 10,59 | Une institution financière doit veiller à ce que (a) les contrôles d'accès aux systèmes à l'échelle de l'entreprise soient gérés et surveillés efficacement ; et (b) les activités des utilisateurs dans les systèmes critiques soient journalisées à des fins d'audit et d'enquêtes. Les journaux d'activité doivent être conservés pendant au moins trois ans et révisés régulièrement en temps opportun. | Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des détails sur l'activité des appels d'API au sein de votre Compte AWS. | |
| 10,59 | Une institution financière doit veiller à ce que (a) les contrôles d'accès aux systèmes à l'échelle de l'entreprise soient gérés et surveillés efficacement ; et (b) les activités des utilisateurs dans les systèmes critiques soient journalisées à des fins d'audit et d'enquêtes. Les journaux d'activité doivent être conservés pendant au moins trois ans et révisés régulièrement en temps opportun. | Assurez-vous que la durée minimale de conservation des données des journaux d'événements pour vos groupes de journaux est suffisante pour faciliter le dépannage et les enquêtes judiciaires. Le manque de données disponibles dans les journaux d'événements passés complique la reconstitution et l'identification des événements potentiellement malveillants. | |
| 10,59 | Une institution financière doit veiller à ce que (a) les contrôles d'accès aux systèmes à l'échelle de l'entreprise soient gérés et surveillés efficacement ; et (b) les activités des utilisateurs dans les systèmes critiques soient journalisées à des fins d'audit et d'enquêtes. Les journaux d'activité doivent être conservés pendant au moins trois ans et révisés régulièrement en temps opportun. | Les profils d'instance EC2 transmettent un rôle IAM à une instance EC2. L'association d'un profil d'instance à vos instances peut faciliter la gestion du moindre privilège et des autorisations. | |
| 10,59 | Une institution financière doit veiller à ce que (a) les contrôles d'accès aux systèmes à l'échelle de l'entreprise soient gérés et surveillés efficacement ; et (b) les activités des utilisateurs dans les systèmes critiques soient journalisées à des fins d'audit et d'enquêtes. Les journaux d'activité doivent être conservés pendant au moins trois ans et révisés régulièrement en temps opportun. | L'activité Elastic Load Balancing est un point de communication central au sein d'un environnement. Assurez-vous que la journalisation ELB est activée. Les données collectées fournissent des informations détaillées sur les demandes envoyées à l'ELB. Chaque journal contient des informations comme l'heure à laquelle la demande a été reçue, l'adresse IP du client, les latences, les chemins de demande et les réponses du serveur. | |
| 10,59 | Une institution financière doit veiller à ce que (a) les contrôles d'accès aux systèmes à l'échelle de l'entreprise soient gérés et surveillés efficacement ; et (b) les activités des utilisateurs dans les systèmes critiques soient journalisées à des fins d'audit et d'enquêtes. Les journaux d'activité doivent être conservés pendant au moins trois ans et révisés régulièrement en temps opportun. | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en empêchant les politiques de contenir des actions bloquées sur toutes les AWS clés du Key Management Service. Avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms :). ReEncryptFrom Les valeurs réelles doivent refléter les politiques de votre organisation | |
| 10,59 | Une institution financière doit veiller à ce que (a) les contrôles d'accès aux systèmes à l'échelle de l'entreprise soient gérés et surveillés efficacement ; et (b) les activités des utilisateurs dans les systèmes critiques soient journalisées à des fins d'audit et d'enquêtes. Les journaux d'activité doivent être conservés pendant au moins trois ans et révisés régulièrement en temps opportun. | Les identités et les informations d'identification sont émises, gérées et vérifiées conformément à une politique de mot de passe IAM organisationnelle. Ils respectent ou dépassent les exigences énoncées par le NIST SP 800-63 et par la norme AWS Foundational Security Best Practices en matière de robustesse des mots de passe. Cette règle vous permet de définir éventuellement RequireUppercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireLowercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireSymbols (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireNumbers (valeur des meilleures pratiques de sécurité de AWS base : vrai), MinimumPasswordLength (valeur des meilleures pratiques de sécurité de AWS base : 14), PasswordReusePrevention (valeur des meilleures pratiques de sécurité de AWS base : 24) et MaxPasswordAge (valeur des meilleures pratiques de sécurité de AWS base : 90) pour votre IAM Politique de mot de passe. Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| 10,59 | Une institution financière doit veiller à ce que (a) les contrôles d'accès aux systèmes à l'échelle de l'entreprise soient gérés et surveillés efficacement ; et (b) les activités des utilisateurs dans les systèmes critiques soient journalisées à des fins d'audit et d'enquêtes. Les journaux d'activité doivent être conservés pendant au moins trois ans et révisés régulièrement en temps opportun. | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| 10,59 | Une institution financière doit veiller à ce que (a) les contrôles d'accès aux systèmes à l'échelle de l'entreprise soient gérés et surveillés efficacement ; et (b) les activités des utilisateurs dans les systèmes critiques soient journalisées à des fins d'audit et d'enquêtes. Les journaux d'activité doivent être conservés pendant au moins trois ans et révisés régulièrement en temps opportun. | L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt la fonction basée sur Comptes AWS les rôles pour intégrer le principe de moindre fonctionnalité. | |
| 10,59 | Une institution financière doit veiller à ce que (a) les contrôles d'accès aux systèmes à l'échelle de l'entreprise soient gérés et surveillés efficacement ; et (b) les activités des utilisateurs dans les systèmes critiques soient journalisées à des fins d'audit et d'enquêtes. Les journaux d'activité doivent être conservés pendant au moins trois ans et révisés régulièrement en temps opportun. | AWS Identity and Access Management (IAM) peut vous aider à restreindre les autorisations et autorisations d'accès, en veillant à ce que les utilisateurs IAM soient membres d'au moins un groupe. Accorder aux utilisateurs plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| 10,59 | Une institution financière doit veiller à ce que (a) les contrôles d'accès aux systèmes à l'échelle de l'entreprise soient gérés et surveillés efficacement ; et (b) les activités des utilisateurs dans les systèmes critiques soient journalisées à des fins d'audit et d'enquêtes. Les journaux d'activité doivent être conservés pendant au moins trois ans et révisés régulièrement en temps opportun. | Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les risques qu'une identité reçoive ou conserve des privilèges excessifs. | |
| 10,59 | Une institution financière doit veiller à ce que (a) les contrôles d'accès aux systèmes à l'échelle de l'entreprise soient gérés et surveillés efficacement ; et (b) les activités des utilisateurs dans les systèmes critiques soient journalisées à des fins d'audit et d'enquêtes. Les journaux d'activité doivent être conservés pendant au moins trois ans et révisés régulièrement en temps opportun. | Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. OpenSearch Les journaux des erreurs de service peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité. | |
| 10,59 | Une institution financière doit veiller à ce que (a) les contrôles d'accès aux systèmes à l'échelle de l'entreprise soient gérés et surveillés efficacement ; et (b) les activités des utilisateurs dans les systèmes critiques soient journalisées à des fins d'audit et d'enquêtes. Les journaux d'activité doivent être conservés pendant au moins trois ans et révisés régulièrement en temps opportun. | Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées. | |
| 10,59 | Une institution financière doit veiller à ce que (a) les contrôles d'accès aux systèmes à l'échelle de l'entreprise soient gérés et surveillés efficacement ; et (b) les activités des utilisateurs dans les systèmes critiques soient journalisées à des fins d'audit et d'enquêtes. Les journaux d'activité doivent être conservés pendant au moins trois ans et révisés régulièrement en temps opportun. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| 10,59 | Une institution financière doit veiller à ce que (a) les contrôles d'accès aux systèmes à l'échelle de l'entreprise soient gérés et surveillés efficacement ; et (b) les activités des utilisateurs dans les systèmes critiques soient journalisées à des fins d'audit et d'enquêtes. Les journaux d'activité doivent être conservés pendant au moins trois ans et révisés régulièrement en temps opportun. | La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant. | |
| 10,59 | Une institution financière doit veiller à ce que (a) les contrôles d'accès aux systèmes à l'échelle de l'entreprise soient gérés et surveillés efficacement ; et (b) les activités des utilisateurs dans les systèmes critiques soient journalisées à des fins d'audit et d'enquêtes. Les journaux d'activité doivent être conservés pendant au moins trois ans et révisés régulièrement en temps opportun. | Pour faciliter la journalisation et la surveillance au sein de votre environnement, activez la journalisation AWS WAF (V2) sur les ACL Web régionales et mondiales. AWS La journalisation WAF fournit des informations détaillées sur le trafic analysé par votre ACL Web. Les journaux enregistrent l'heure à laquelle AWS WAF a reçu la demande de votre AWS ressource, des informations sur la demande et une action pour la règle à laquelle chaque demande correspondait. | |
| 10,60 | Pour satisfaire à l'exigence du paragraphe 10.59, les grandes institutions financières sont tenues de (a) déployer un système de gestion des accès aux identités afin de gérer et de surveiller efficacement l'accès des utilisateurs aux systèmes de l'entreprise ; et (b) déployer des outils d'audit automatisés pour signaler toute anomalie. | Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des détails sur l'activité des appels d'API au sein de votre Compte AWS. | |
| 10,60 | Pour satisfaire à l'exigence du paragraphe 10.61, les grandes institutions financières sont tenues de (a) déployer un système de gestion des accès aux identités afin de gérer et de surveiller efficacement l'accès des utilisateurs aux systèmes de l'entreprise ; et (b) déployer des outils d'audit automatisés pour signaler toute anomalie. | Amazon GuardDuty peut aider à surveiller et à détecter les événements de cybersécurité potentiels en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
| 10,60 | Pour satisfaire à l'exigence du paragraphe 10.61, les grandes institutions financières sont tenues de (a) déployer un système de gestion des accès aux identités afin de gérer et de surveiller efficacement l'accès des utilisateurs aux systèmes de l'entreprise ; et (b) déployer des outils d'audit automatisés pour signaler toute anomalie. | AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que des solutions partenaires. AWS | |
| 10,61 | Une institution financière doit s'assurer que les systèmes critiques ne fonctionnent pas sur des systèmes obsolètes présentant des vulnérabilités de sécurité connues ou des systèmes technologiques end-of-life (EOL). À cet égard, une institution financière doit clairement attribuer des responsabilités aux fonctions définies : (a) pour surveiller en permanence et mettre en œuvre les dernières versions de correctifs en temps opportun ; et (b) pour identifier les systèmes technologiques critiques qui approchent de leur fin de vie afin d'appliquer des mesures correctives supplémentaires. | Un inventaire des plateformes logicielles et des applications au sein de l'organisation est possible en gérant les instances Amazon Elastic Compute Cloud (Amazon EC2) avec Systems AWS Manager. Utilisez AWS Systems Manager pour fournir des configurations système détaillées, les niveaux de correctif du système d'exploitation, le nom et le type de service, les installations logicielles, le nom, l'éditeur et la version de l'application, ainsi que d'autres informations sur votre environnement. | |
| 10,61 | Une institution financière doit s'assurer que les systèmes critiques ne fonctionnent pas sur des systèmes obsolètes présentant des vulnérabilités de sécurité connues ou des systèmes technologiques end-of-life (EOL). À cet égard, une institution financière doit clairement attribuer des responsabilités aux fonctions définies : (a) pour surveiller en permanence et mettre en œuvre les dernières versions de correctifs en temps opportun ; et (b) pour identifier les systèmes technologiques critiques qui approchent de leur fin de vie afin d'appliquer des mesures correctives supplémentaires. | Utilisez AWS les associations de Systems Manager pour vous aider à inventorier les plateformes logicielles et les applications au sein d'une organisation. AWS Systems Manager attribue un état de configuration à vos instances gérées et vous permet de définir des niveaux de référence pour les niveaux de correctifs du système d'exploitation, les installations de logiciels, les configurations d'applications et d'autres informations relatives à votre environnement. | |
| 10,61 | Une institution financière doit s'assurer que les systèmes critiques ne fonctionnent pas sur des systèmes obsolètes présentant des vulnérabilités de sécurité connues ou des systèmes technologiques end-of-life (EOL). À cet égard, une institution financière doit clairement attribuer des responsabilités aux fonctions définies : (a) pour surveiller en permanence et mettre en œuvre les dernières versions de correctifs en temps opportun ; et (b) pour identifier les systèmes technologiques critiques qui approchent de leur fin de vie afin d'appliquer des mesures correctives supplémentaires. | Activez cette règle pour faciliter l'identification et la documentation des vulnérabilités d'Amazon Elastic Compute Cloud (Amazon EC2). La règle vérifie si les correctifs d'instance Amazon EC2 sont conformes dans AWS Systems Manager conformément aux politiques et procédures de votre entreprise. | |
| 10,61 | Une institution financière doit s'assurer que les systèmes critiques ne fonctionnent pas sur des systèmes obsolètes présentant des vulnérabilités de sécurité connues ou des systèmes technologiques end-of-life (EOL). À cet égard, une institution financière doit clairement attribuer des responsabilités aux fonctions définies : (a) pour surveiller en permanence et mettre en œuvre les dernières versions de correctifs en temps opportun ; et (b) pour identifier les systèmes technologiques critiques qui approchent de leur fin de vie afin d'appliquer des mesures correctives supplémentaires. | L'activation des mises à jour de plateforme gérées pour un environnement Amazon Elastic Beanstalk garantit l'installation des derniers correctifs, mises à jour et fonctionnalités de la plateforme disponibles pour l'environnement. La sécurisation des systèmes passe par la mise à jour de l'installation des correctifs. | |
| 10,61 | Une institution financière doit s'assurer que les systèmes critiques ne fonctionnent pas sur des systèmes obsolètes présentant des vulnérabilités de sécurité connues ou des systèmes technologiques end-of-life (EOL). À cet égard, une institution financière doit clairement attribuer des responsabilités aux fonctions définies : (a) pour surveiller en permanence et mettre en œuvre les dernières versions de correctifs en temps opportun ; et (b) pour identifier les systèmes technologiques critiques qui approchent de leur fin de vie afin d'appliquer des mesures correctives supplémentaires. | Cette règle garantit que les clusters Amazon Redshift disposent des paramètres préférés de votre organisation. Plus précisément, qu'ils disposent de fenêtres de maintenance préférées et de périodes de conservation des instantanés automatisées pour la base de données. Cette règle vous oblige à définir le allowVersionUpgrade. Par défaut, la valeur est true. Il vous permet également de définir éventuellement le preferredMaintenanceWindow (la valeur par défaut est samedi : 16h00 - samedi : 16h30) et la automatedSnapshotRetention période (la valeur par défaut est 1). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| 10.64(a) | Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (a) la confidentialité et l'intégrité des informations, ainsi que des transactions des clients et des contreparties | Pour protéger les données en transit, assurez-vous que votre Application Load Balancer redirige automatiquement les requêtes HTTP non chiffrées vers HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| 10.64(a) | Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (a) la confidentialité et l'intégrité des informations, ainsi que des transactions des clients et des contreparties | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour le cache de votre environnement API Gateway. Étant donné que des données sensibles peuvent être capturées pour la méthode API, activez le chiffrement au repos pour protéger ces données. | |
| 10.64(a) | Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (a) la confidentialité et l'intégrité des informations, ainsi que des transactions des clients et des contreparties | Assurez-vous que les étapes de l'API REST Amazon API Gateway sont configurées avec des certificats SSL pour permettre aux systèmes backend d'authentifier que les demandes proviennent d'API Gateway. | |
| 10.64(a) | Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (a) la confidentialité et l'intégrité des informations, ainsi que des transactions des clients et des contreparties | Assurez-vous que le chiffrement est activé pour vos points AWS de restauration Backup. Comme il peut y avoir des données sensibles au repos, activez le chiffrement au repos pour protéger ces données. | |
| 10.64(a) | Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (a) la confidentialité et l'intégrité des informations, ainsi que des transactions des clients et des contreparties | Cette règle permet de garantir l'utilisation des meilleures pratiques de sécurité AWS recommandées pour AWS CloudTrail, en vérifiant l'activation de plusieurs paramètres. Il s'agit notamment de l'utilisation du chiffrement des journaux, de la validation des journaux et de AWS CloudTrail l'activation dans plusieurs régions. | |
| 10.64(a) | Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (a) la confidentialité et l'intégrité des informations, ainsi que des transactions des clients et des contreparties | Pour protéger les données sensibles au repos, assurez-vous que le chiffrement est activé pour vos Amazon CloudWatch Log Groups. | |
| 10.64(a) | Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (a) la confidentialité et l'intégrité des informations, ainsi que des transactions des clients et des contreparties | Assurez-vous que le chiffrement est activé pour vos tables Amazon DynamoDB. Comme il peut y avoir des données sensibles au repos dans ces tables, activez le chiffrement au repos pour protéger ces données. Par défaut, les tables DynamoDB sont chiffrées à l'aide AWS d'une clé principale propre au client (CMK). | |
| 10.64(a) | Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (a) la confidentialité et l'intégrité des informations, ainsi que des transactions des clients et des contreparties | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (Amazon EBS). Comme il peut y avoir des données sensibles au repos dans ces volumes, activez le chiffrement au repos pour protéger ces données. | |
| 10.64(a) | Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (a) la confidentialité et l'intégrité des informations, ainsi que des transactions des clients et des contreparties | Comme il peut y avoir des données sensibles et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour votre Amazon Elastic File System (EFS). | |
| 10.64(a) | Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (a) la confidentialité et l'intégrité des informations, ainsi que des transactions des clients et des contreparties | Comme il peut y avoir des données sensibles et pour protéger les données en transit, assurez-vous que le chiffrement est activé pour votre Elastic Load Balancing. Utilisez AWS Certificate Manager pour gérer, fournir et déployer des certificats SSL/TLS publics et privés avec des AWS services et des ressources internes. | |
| 10.64(a) | Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (a) la confidentialité et l'intégrité des informations, ainsi que des transactions des clients et des contreparties | Comme il peut y avoir des données sensibles et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (Amazon EBS). | |
| 10.64(a) | Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (a) la confidentialité et l'intégrité des informations, ainsi que des transactions des clients et des contreparties | Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos domaines Amazon OpenSearch Service. | |
| 10.64(a) | Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (a) la confidentialité et l'intégrité des informations, ainsi que des transactions des clients et des contreparties | Étant donné que des données sensibles peuvent exister et pour protéger les données en transit, assurez-vous que le protocole HTTPS est activé pour les connexions à vos domaines Amazon OpenSearch Service. | |
| 10.64(a) | Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (a) la confidentialité et l'intégrité des informations, ainsi que des transactions des clients et des contreparties | Assurez-vous que node-to-node le chiffrement pour Amazon OpenSearch Service est activé. ode-to-node Le chiffrement N active le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (Amazon VPC). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| 10.64(a) | Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (a) la confidentialité et l'intégrité des informations, ainsi que des transactions des clients et des contreparties | Assurez-vous que le chiffrement est activé pour vos instantanés Amazon Relational Database Service (Amazon RDS). Comme il peut y avoir des données sensibles au repos, activez le chiffrement au repos pour protéger ces données. | |
| 10.64(a) | Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (a) la confidentialité et l'intégrité des informations, ainsi que des transactions des clients et des contreparties | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos instances Amazon Relational Database Service (Amazon RDS). Comme il peut y avoir des données sensibles au repos dans les instances Amazon RDS, activez le chiffrement au repos pour protéger ces données. | |
| 10.64(a) | Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (a) la confidentialité et l'intégrité des informations, ainsi que des transactions des clients et des contreparties | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| 10.64(a) | Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (a) la confidentialité et l'intégrité des informations, ainsi que des transactions des clients et des contreparties | Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWS KMS) est activé pour votre cluster Amazon Redshift. Comme il peut y avoir des données sensibles au repos dans les clusters Redshift, activez le chiffrement au repos pour protéger ces données. | |
| 10.64(a) | Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (a) la confidentialité et l'intégrité des informations, ainsi que des transactions des clients et des contreparties | Assurez-vous que vos clusters Amazon Redshift nécessitent un chiffrement TLS/SSL pour se connecter aux clients SQL. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| 10.64(a) | Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (a) la confidentialité et l'intégrité des informations, ainsi que des transactions des clients et des contreparties | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans les compartiments Amazon S3, activez le chiffrement pour protéger ces données. | |
| 10.64(a) | Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (a) la confidentialité et l'intégrité des informations, ainsi que des transactions des clients et des contreparties | Pour protéger les données en transit, assurez-vous que vos compartiments Amazon Simple Storage Service (Amazon S3) exigent que les demandes utilisent Secure Socket Layer (SSL). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| 10.64(a) | Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (a) la confidentialité et l'intégrité des informations, ainsi que des transactions des clients et des contreparties | Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWS KMS) est activé pour votre SageMaker terminal. Étant donné que les données sensibles peuvent exister au repos sur le SageMaker terminal, activez le chiffrement au repos pour protéger ces données. | |
| 10.64(a) | Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (a) la confidentialité et l'intégrité des informations, ainsi que des transactions des clients et des contreparties | Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWS KMS) est activé pour votre SageMaker ordinateur portable. Étant donné que des données sensibles peuvent exister au repos dans le SageMaker bloc-notes, activez le chiffrement au repos pour protéger ces données. | |
| 10.64(a) | Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (a) la confidentialité et l'intégrité des informations, ainsi que des transactions des clients et des contreparties | Pour protéger les données au repos, assurez-vous que le chiffrement avec le AWS Key Management Service (AWS KMS) est activé pour les AWS secrets de Secrets Manager. Comme il peut y avoir des données sensibles au repos dans les secrets de Secrets Manager, activez le chiffrement au repos pour protéger ces données. | |
| 10.64(a) | Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (a) la confidentialité et l'intégrité des informations, ainsi que des transactions des clients et des contreparties | Pour protéger les données au repos, assurez-vous que vos rubriques Amazon Simple Notification Service (Amazon SNS) nécessitent un chiffrement à l' AWS aide du Key Management Service AWS (KMS). Comme il peut y avoir des données sensibles au repos dans les messages publiés, activez le chiffrement au repos pour protéger ces données. | |
| 10.64(b) | Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (b) la fiabilité des services fournis par les canaux et les appareils avec un minimum d'interruption des services | Amazon DynamoDB Auto Scaling AWS utilise le service Application Auto Scaling pour ajuster la capacité de débit allouée afin de répondre automatiquement aux modèles de trafic réels. Cela permet à une table ou à un index secondaire global d'augmenter sa capacité de lecture/d'écriture approvisionnée afin de gérer les hausses soudaines de trafic sans limitation. | |
| 10.64(b) | Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (b) la fiabilité des services fournis par les canaux et les appareils avec un minimum d'interruption des services | Activez cette règle pour faciliter la configuration de référence des instances Amazon Elastic Compute Cloud (Amazon EC2) en vérifiant si les instances Amazon EC2 ont été arrêtées pendant un nombre de jours supérieur au nombre autorisé, conformément aux normes de votre organisation. | |
| 10.64(b) | Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (b) la fiabilité des services fournis par les canaux et les appareils avec un minimum d'interruption des services | Cette règle garantit que la protection contre la suppression est activée pour Elastic Load Balancing. Utilisez cette fonctionnalité pour empêcher la suppression accidentelle ou malveillante de votre équilibreur de charge, ce qui pourrait entraîner une perte de disponibilité pour vos applications. | |
| 10.64(b) | Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (b) la fiabilité des services fournis par les canaux et les appareils avec un minimum d'interruption des services | Activez l'équilibrage de charge entre zones pour vos NetworkLoad équilibreurs (NLB) afin de maintenir une capacité et une disponibilité adéquates. L'équilibrage de charge entre zones réduit la nécessité de maintenir un nombre équivalent d'instances dans chaque zone de disponibilité activée. Cela améliore également la capacité de votre application à gérer la perte d'une ou de plusieurs instances. | |
| 10.64(b) | Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (b) la fiabilité des services fournis par les canaux et les appareils avec un minimum d'interruption des services | Assurez-vous que la protection contre la suppression est activée sur les instances Amazon Relational Database Service (Amazon RDS). Utilisez la protection contre la suppression pour empêcher la suppression accidentelle ou malveillante des instances Amazon RDS, ce qui pourrait entraîner une perte de disponibilité pour vos applications. | |
| 10.64(b) | Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (b) la fiabilité des services fournis par les canaux et les appareils avec un minimum d'interruption des services | La prise en charge multi-AZ dans Amazon Relational Database Service (Amazon RDS) offre une disponibilité et une durabilité améliorées pour les instances de base de données. Lorsque vous mettez en service une instance de base de données multi-AZ, Amazon RDS crée automatiquement une instance de base de données principale et réplique de manière synchrone les données vers une instance de secours dans une autre zone de disponibilité. Chaque zone de disponibilité fonctionne sur sa propre infrastructure physiquement distincte et indépendante, et est conçue pour être hautement fiable. En cas de défaillance de l'infrastructure, Amazon RDS effectue un basculement automatique vers l'instance de secours afin que vous puissiez poursuivre les opérations de base de données dès que le basculement est terminé. | |
| 10.64(b) | Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (b) la fiabilité des services fournis par les canaux et les appareils avec un minimum d'interruption des services | Des tunnels Site-to-Site VPN redondants peuvent être mis en œuvre pour répondre aux exigences de résilience. Deux tunnels sont utilisés pour garantir la connectivité au cas où l'une des connexions Site-to-Site VPN deviendrait indisponible. Pour bénéficier d'une protection contre la perte de connectivité en cas d'indisponibilité de votre passerelle client, vous pouvez configurer une seconde connexion Site-to-Site VPN vers votre réseau Amazon Virtual Private Cloud (Amazon VPC) et votre passerelle privée virtuelle en ajoutant une seconde passerelle client. | |
| 10.64(d) | Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (d) une piste d'audit suffisante et une surveillance des transactions anormales | La journalisation d'API Gateway affiche des vues détaillées des utilisateurs qui ont accédé à l'API et de la manière dont ils y ont accédé. Ces informations offrent une visibilité sur les activités des utilisateurs. | |
| 10.64(d) | Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (d) une piste d'audit suffisante et une surveillance des transactions anormales | La surveillance de l'état Elastic Load Balancer (ELB) pour les groupes Auto Scaling Amazon Elastic Compute Cloud (Amazon EC2) permet de maintenir une capacité et une disponibilité adéquates. L'équilibreur de charge envoie périodiquement des pings, effectue des tentatives de connexion ou adresse des demandes pour tester l'état des instances Amazon EC2 dans un groupe Auto Scaling. Si une instance ne renvoie pas de rapport, le trafic est envoyé à une nouvelle instance Amazon EC2. | |
| 10.64(d) | Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (d) une piste d'audit suffisante et une surveillance des transactions anormales | La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les Compte AWS informations qui ont accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement. | |
| 10.64(d) | Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (d) une piste d'audit suffisante et une surveillance des transactions anormales | Cette règle permet de garantir l'utilisation des meilleures pratiques de sécurité AWS recommandées pour AWS CloudTrail, en vérifiant l'activation de plusieurs paramètres. Il s'agit notamment de l'utilisation du chiffrement des journaux, de la validation des journaux et de AWS CloudTrail l'activation dans plusieurs régions. | |
| 10.64(d) | Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (d) une piste d'audit suffisante et une surveillance des transactions anormales | Amazon CloudWatch émet une alerte lorsqu'un indicateur dépasse le seuil pour un certain nombre de périodes d'évaluation. L’alarme réalise une ou plusieurs actions en fonction de la valeur de la métrique ou de l’expression par rapport à un seuil sur un certain nombre de périodes. Cette règle nécessite une valeur pour alarmActionRequired (Config Default : True), insufficientDataAction Required (Config Default : True), okActionRequired (Config Default : False). La valeur réelle doit refléter les actions d'alarme de votre environnement. | |
| 10.64(d) | Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (d) une piste d'audit suffisante et une surveillance des transactions anormales | Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des détails sur l'activité des appels d'API au sein de votre Compte AWS. | |
| 10.64(d) | Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (d) une piste d'audit suffisante et une surveillance des transactions anormales | Activez cette règle pour vous assurer que la capacité de débit allouée est vérifiée sur vos tables Amazon DynamoDB. Il s'agit du volume d'activité de lecture/d'écriture que chaque table peut prendre en charge. DynamoDB utilise ces informations pour réserver des ressources système suffisantes pour répondre à vos exigences de débit. Cette règle génère une alerte lorsque le débit approche de la limite maximale pour le compte d'un client. Cette règle vous permet de définir éventuellement les paramètres AccountRCU (ThresholdPercentage Config Default : 80) et AccountWCU ThresholdPercentage (Config Default : 80). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| 10.64(d) | Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (d) une piste d'audit suffisante et une surveillance des transactions anormales | Activez cette règle pour améliorer la surveillance des instances Amazon Elastic Compute Cloud (Amazon EC2) sur la console Amazon EC2, qui affiche des graphiques de surveillance toutes les minutes pour l'instance. | |
| 10.64(d) | Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (d) une piste d'audit suffisante et une surveillance des transactions anormales | L'activité Elastic Load Balancing est un point de communication central au sein d'un environnement. Assurez-vous que la journalisation ELB est activée. Les données collectées fournissent des informations détaillées sur les demandes envoyées à l'ELB. Chaque journal contient des informations comme l'heure à laquelle la demande a été reçue, l'adresse IP du client, les latences, les chemins de demande et les réponses du serveur. | |
| 10.64(d) | Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (d) une piste d'audit suffisante et une surveillance des transactions anormales | Amazon GuardDuty peut aider à surveiller et à détecter les événements de cybersécurité potentiels en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
| 10.64(d) | Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (d) une piste d'audit suffisante et une surveillance des transactions anormales | Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. OpenSearch Les journaux des erreurs de service peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité. | |
| 10.64(d) | Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (d) une piste d'audit suffisante et une surveillance des transactions anormales | Activez Amazon Relational Database Service (Amazon RDS) pour surveiller la disponibilité d'Amazon RDS. Vous disposez ainsi d'une visibilité détaillée sur l'état de vos instances de base de données Amazon RDS. Lorsque le stockage Amazon RDS utilise plusieurs appareils physiques sous-jacents, Enhanced Monitoring collecte les données pour chaque appareil. En outre, lorsque l'instance de base de données Amazon RDS est exécutée dans le cadre d'un déploiement multi-AZ, les données de chaque appareil sur l'hôte secondaire sont collectées, ainsi que les métriques de l'hôte secondaire. | |
| 10.64(d) | Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (d) une piste d'audit suffisante et une surveillance des transactions anormales | Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées. | |
| 10.64(d) | Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (d) une piste d'audit suffisante et une surveillance des transactions anormales | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| 10.64(d) | Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (d) une piste d'audit suffisante et une surveillance des transactions anormales | La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant. | |
| 10.64(d) | Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (d) une piste d'audit suffisante et une surveillance des transactions anormales | AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que des solutions partenaires. AWS | |
| 10.64(d) | Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (d) une piste d'audit suffisante et une surveillance des transactions anormales | Les journaux de flux VPC fournissent des informations détaillées sur le trafic IP circulant vers et depuis les interfaces réseau de votre réseau Amazon Virtual Private Cloud (Amazon VPC). Par défaut, le journal de flux inclut des valeurs pour les différents composants du flux IP, y compris la source, la destination et le protocole. | |
| 10.64(d) | Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (d) une piste d'audit suffisante et une surveillance des transactions anormales | Pour faciliter la journalisation et la surveillance au sein de votre environnement, activez la journalisation AWS WAF (V2) sur les ACL Web régionales et mondiales. AWS La journalisation WAF fournit des informations détaillées sur le trafic analysé par votre ACL Web. Les journaux enregistrent l'heure à laquelle AWS WAF a reçu la demande de votre AWS ressource, des informations sur la demande et une action pour la règle à laquelle chaque demande correspondait. | |
| 10.64(e) | Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (e) la capacité d'identifier et de revenir au point de récupération avant un incident ou une interruption de service | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos ressources Amazon Aurora font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
| 10.64(e) | Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (e) la capacité d'identifier et de revenir au point de récupération avant un incident ou une interruption de service | La fonctionnalité de sauvegarde d'Amazon RDS crée des sauvegardes de vos bases de données et de vos journaux de transactions. Amazon RDS crée automatiquement un instantané du volume de stockage de votre instance de base de données, en sauvegardant l'intégralité de cette dernière. Le système vous permet de définir des périodes de conservation spécifiques pour répondre à vos exigences de résilience. | |
| 10.64(e) | Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (e) la capacité d'identifier et de revenir au point de récupération avant un incident ou une interruption de service | Activez cette règle pour vérifier que les informations ont été sauvegardées. Il gère également les sauvegardes en s'assurant que la point-in-time restauration est activée dans Amazon DynamoDB. La récupération permet de maintenir des sauvegardes continues de votre table pour les 35 derniers jours. | |
| 10.64(e) | Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (e) la capacité d'identifier et de revenir au point de récupération avant un incident ou une interruption de service | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos ressources Amazon DynamoDB font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
| 10.64(e) | Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (e) la capacité d'identifier et de revenir au point de récupération avant un incident ou une interruption de service | Une instance optimisée dans Amazon Elastic Block Store (Amazon EBS) fournit une capacité supplémentaire dédiée aux opérations d'E/S d'Amazon EBS. Cette optimisation offre les performances les plus efficaces pour vos volumes EBS en minimisant les conflits entre les opérations d'E/S d'Amazon EBS et le trafic restant de votre instance. | |
| 10.64(e) | Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (e) la capacité d'identifier et de revenir au point de récupération avant un incident ou une interruption de service | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos ressources Amazon Elastic Block Store (Amazon EBS) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
| 10.64(e) | Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (e) la capacité d'identifier et de revenir au point de récupération avant un incident ou une interruption de service | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos ressources Amazon Elastic Compute Cloud (Amazon EC2) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
| 10.64(e) | Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (e) la capacité d'identifier et de revenir au point de récupération avant un incident ou une interruption de service | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos systèmes de fichiers Amazon Elastic File System (Amazon EFS) font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
| 10.64(e) | Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (e) la capacité d'identifier et de revenir au point de récupération avant un incident ou une interruption de service | elasticache-redis-cluster-automatic-vérification des sauvegardes |
Lorsque les sauvegardes automatiques sont activées, Amazon ElastiCache crée une sauvegarde du cluster quotidiennement. La sauvegarde peut être conservée pendant un nombre de jours défini par votre organisation. Les sauvegardes automatiques peuvent constituer une protection contre la perte de données. En cas de défaillance, vous pouvez créer un nouveau cluster, ce qui restaurera vos données à partir de la sauvegarde la plus récente. |
| 10.64(e) | Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (e) la capacité d'identifier et de revenir au point de récupération avant un incident ou une interruption de service | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos ressources Amazon Relational Database Service (Amazon RDS) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
| 10.64(e) | Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (e) la capacité d'identifier et de revenir au point de récupération avant un incident ou une interruption de service | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos clusters Amazon Redshift disposent d'instantanés automatisés. Lorsque les instantanés automatiques sont activés pour un cluster, Redshift prend régulièrement des instantanés de ce cluster. Par défaut, Redshift prend un instantané toutes les huit heures ou tous les 5 Go pour chaque nœud de modification des données, ou selon la première éventualité. | |
| 10.64(e) | Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (e) la capacité d'identifier et de revenir au point de récupération avant un incident ou une interruption de service | La gestion des versions d'un compartiment Amazon Simple Storage Service (Amazon S3) permet de conserver plusieurs variantes d'un objet dans le même compartiment Amazon S3. Utilisez la gestion des versions pour préserver, récupérer et restaurer chaque version de chaque objet stocké dans votre compartiment Amazon S3. La gestion des versions vous aide à récupérer facilement en cas d'action involontaire d'un utilisateur et de défaillance applicative. | |
| 10.64(e) | Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (e) la capacité d'identifier et de revenir au point de récupération avant un incident ou une interruption de service | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos compartiments Amazon Simple Storage Service (S3) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
| 11.7 | Une institution financière doit déployer des outils efficaces pour prendre en charge la surveillance continue et proactive, ainsi que la détection rapide des activités anormales dans son infrastructure technologique. La portée de la surveillance doit couvrir tous les systèmes critiques, y compris l'infrastructure annexe. | Amazon GuardDuty peut aider à surveiller et à détecter les événements de cybersécurité potentiels en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
| 11.7 | Une institution financière doit déployer des outils efficaces pour prendre en charge la surveillance continue et proactive, ainsi que la détection rapide des activités anormales dans son infrastructure technologique. La portée de la surveillance doit couvrir tous les systèmes critiques, y compris l'infrastructure annexe. | AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que des solutions partenaires. AWS | |
| 11.8 | Une institution financière doit veiller à ce que ses opérations de cybersécurité préviennent et détectent en permanence toute violation potentielle de ses contrôles de sécurité ou tout affaiblissement de sa posture de sécurité. Les grandes institutions financières doivent notamment réaliser une évaluation trimestrielle des vulnérabilités des composants réseau externes et internes qui prennent en charge tous les systèmes critiques. | Amazon GuardDuty peut aider à surveiller et à détecter les événements de cybersécurité potentiels en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
| 11.8 | Une institution financière doit veiller à ce que ses opérations de cybersécurité préviennent et détectent en permanence toute violation potentielle de ses contrôles de sécurité ou tout affaiblissement de sa posture de sécurité. Les grandes institutions financières doivent notamment réaliser une évaluation trimestrielle des vulnérabilités des composants réseau externes et internes qui prennent en charge tous les systèmes critiques. | AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que des solutions partenaires. AWS | |
| 11.18(c)(f) | Le SOC doit être en mesure d'assumer les fonctions suivantes : (c) la gestion des vulnérabilités ; (f) fournir une meilleure visibilité de la situation pour détecter les adversaires et les menaces, y compris l'analyse et les opérations de renseignement sur les menaces, ainsi que la surveillance des indicateurs de compromission (IOC). Cette démarche inclut une analyse comportementale avancée pour détecter les logiciels malveillants sans signature et sans fichier et pour identifier les anomalies susceptibles de constituer des menaces de sécurité, notamment au niveau des points de terminaison et des couches réseau. | Amazon GuardDuty peut aider à surveiller et à détecter les événements de cybersécurité potentiels en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
| 11.18(c)(f) | Le SOC doit être en mesure d'assumer les fonctions suivantes : (c) la gestion des vulnérabilités ; (f) fournir une meilleure visibilité de la situation pour détecter les adversaires et les menaces, y compris l'analyse et les opérations de renseignement sur les menaces, ainsi que la surveillance des indicateurs de compromission (IOC). Cette démarche inclut une analyse comportementale avancée pour détecter les logiciels malveillants sans signature et sans fichier et pour identifier les anomalies susceptibles de constituer des menaces de sécurité, notamment au niveau des points de terminaison et des couches réseau. | Amazon vous GuardDuty aide à comprendre l'impact d'un incident en classant les résultats par gravité : faible, moyenne et élevée. Vous pouvez utiliser ces classifications pour déterminer les stratégies et les priorités de correction. Cette règle vous permet de définir éventuellement daysLowSev (Config Default : 30), daysMediumSev (Config Default : 7) et daysHighSev (Config Default : 1) pour les résultats non archivés, comme l'exigent les politiques de votre organisation. | |
| 11.18(c)(f) | Le SOC doit être en mesure d'assumer les fonctions suivantes : (c) la gestion des vulnérabilités ; (f) fournir une meilleure visibilité de la situation pour détecter les adversaires et les menaces, y compris l'analyse et les opérations de renseignement sur les menaces, ainsi que la surveillance des indicateurs de compromission (IOC). Cette démarche inclut une analyse comportementale avancée pour détecter les logiciels malveillants sans signature et sans fichier et pour identifier les anomalies susceptibles de constituer des menaces de sécurité, notamment au niveau des points de terminaison et des couches réseau. | AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que des solutions partenaires. AWS | |
| Annexe 5.1 | Révisez régulièrement les paramètres de configuration et de règles de tous les dispositifs de sécurité. Utilisez des outils automatisés pour examiner et surveiller les modifications apportées aux paramètres de configuration et de règles. | Amazon GuardDuty peut aider à surveiller et à détecter les événements de cybersécurité potentiels en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
| Annexe 5.1 | Révisez régulièrement les paramètres de configuration et de règles de tous les dispositifs de sécurité. Utilisez des outils automatisés pour examiner et surveiller les modifications apportées aux paramètres de configuration et de règles. | AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que des solutions partenaires. AWS | |
| Annexe 5.5(b) | Assurez-vous que les contrôles de sécurité pour les connexions réseau server-to-server externes incluent les éléments suivants : (b) utilisation de tunnels sécurisés tels que le protocole TLS (Transport Layer Security) et le réseau privé virtuel (VPN) IPSec | Pour protéger les données en transit, assurez-vous que votre Application Load Balancer redirige automatiquement les requêtes HTTP non chiffrées vers HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| Annexe 5.5(b) | Assurez-vous que les contrôles de sécurité pour les connexions réseau server-to-server externes incluent les éléments suivants : (b) utilisation de tunnels sécurisés tels que le protocole TLS (Transport Layer Security) et le réseau privé virtuel (VPN) IPSec | Assurez-vous que les étapes de l'API REST Amazon API Gateway sont configurées avec des certificats SSL pour permettre aux systèmes backend d'authentifier que les demandes proviennent d'API Gateway. | |
| Annexe 5.5(b) | Assurez-vous que les contrôles de sécurité pour les connexions réseau server-to-server externes incluent les éléments suivants : (b) utilisation de tunnels sécurisés tels que le protocole TLS (Transport Layer Security) et le réseau privé virtuel (VPN) IPSec | Étant donné que des données sensibles peuvent exister et pour protéger les données en transit, assurez-vous que le protocole HTTPS est activé pour les connexions à vos domaines Amazon OpenSearch Service. | |
| Annexe 5.5(b) | Assurez-vous que les contrôles de sécurité pour les connexions réseau server-to-server externes incluent les éléments suivants : (b) utilisation de tunnels sécurisés tels que le protocole TLS (Transport Layer Security) et le réseau privé virtuel (VPN) IPSec | Assurez-vous que node-to-node le chiffrement pour Amazon OpenSearch Service est activé. ode-to-node Le chiffrement N active le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (Amazon VPC). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| Annexe 5.5(b) | Assurez-vous que les contrôles de sécurité pour les connexions réseau server-to-server externes incluent les éléments suivants : (b) utilisation de tunnels sécurisés tels que le protocole TLS (Transport Layer Security) et le réseau privé virtuel (VPN) IPSec | Assurez-vous que vos clusters Amazon Redshift nécessitent un chiffrement TLS/SSL pour se connecter aux clients SQL. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| Annexe 5.5(b) | Assurez-vous que les contrôles de sécurité pour les connexions réseau server-to-server externes incluent les éléments suivants : (b) utilisation de tunnels sécurisés tels que le protocole TLS (Transport Layer Security) et le réseau privé virtuel (VPN) IPSec | Pour protéger les données en transit, assurez-vous que vos compartiments Amazon Simple Storage Service (Amazon S3) exigent que les demandes utilisent Secure Socket Layer (SSL). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| Annexe 5.5(c) | Assurez-vous que les contrôles de sécurité pour les connexions réseau server-to-server externes incluent les éléments suivants : (c) déploiement de serveurs intermédiaires dotés de défenses périmétriques et de protections adéquates, telles qu'un pare-feu, un IPS et un antivirus. | Amazon GuardDuty peut aider à surveiller et à détecter les événements de cybersécurité potentiels en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
| Annexe 5.5(c) | Assurez-vous que les contrôles de sécurité pour les connexions réseau server-to-server externes incluent les éléments suivants : (c) déploiement de serveurs intermédiaires dotés de défenses périmétriques et de protections adéquates, telles qu'un pare-feu, un IPS et un antivirus. | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent contribuer à la gestion de l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS La restriction de tout le trafic sur le groupe de sécurité par défaut permet de restreindre l'accès à distance à vos AWS ressources. | |
| Annexe 5.5(c) | Assurez-vous que les contrôles de sécurité pour les connexions réseau server-to-server externes incluent les éléments suivants : (c) déploiement de serveurs intermédiaires dotés de défenses périmétriques et de protections adéquates, telles qu'un pare-feu, un IPS et un antivirus. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. En limitant l'accès aux ressources d'un groupe de sécurité depuis Internet (0.0.0.0/0), il est possible de contrôler l'accès à distance aux systèmes internes. | |
| Annexe 5.6 | Assurez-vous que les contrôles de sécurité de l'accès à distance au serveur incluent les éléments suivants : (a) la limitation de l'accès aux seuls dispositifs de points de terminaison sécurisés et verrouillés ; (b) l'utilisation de tunnels sécurisés tels que TLS et VPN IPsec ; (c) le déploiement d'un serveur « passerelle » doté de défenses périmétriques et d'une protection adéquates, telles qu'un pare-feu, un IPS et un antivirus ; et (d) la fermeture des ports concernés immédiatement après l'expiration de l'accès à distance. | Pour protéger les données en transit, assurez-vous que votre Application Load Balancer redirige automatiquement les requêtes HTTP non chiffrées vers HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| Annexe 5.6 | Assurez-vous que les contrôles de sécurité de l'accès à distance au serveur incluent les éléments suivants : (a) la limitation de l'accès aux seuls dispositifs de points de terminaison sécurisés et verrouillés ; (b) l'utilisation de tunnels sécurisés tels que TLS et VPN IPsec ; (c) le déploiement d'un serveur « passerelle » doté de défenses périmétriques et d'une protection adéquates, telles qu'un pare-feu, un IPS et un antivirus ; et (d) la fermeture des ports concernés immédiatement après l'expiration de l'accès à distance. | Assurez-vous que les étapes de l'API REST Amazon API Gateway sont configurées avec des certificats SSL pour permettre aux systèmes backend d'authentifier que les demandes proviennent d'API Gateway. | |
| Annexe 5.6 | Assurez-vous que les contrôles de sécurité de l'accès à distance au serveur incluent les éléments suivants : (a) la limitation de l'accès aux seuls dispositifs de points de terminaison sécurisés et verrouillés ; (b) l'utilisation de tunnels sécurisés tels que TLS et VPN IPsec ; (c) le déploiement d'un serveur « passerelle » doté de défenses périmétriques et d'une protection adéquates, telles qu'un pare-feu, un IPS et un antivirus ; et (d) la fermeture des ports concernés immédiatement après l'expiration de l'accès à distance. | Étant donné que des données sensibles peuvent exister et pour protéger les données en transit, assurez-vous que le protocole HTTPS est activé pour les connexions à vos domaines Amazon OpenSearch Service. | |
| Annexe 5.6 | Assurez-vous que les contrôles de sécurité de l'accès à distance au serveur incluent les éléments suivants : (a) la limitation de l'accès aux seuls dispositifs de points de terminaison sécurisés et verrouillés ; (b) l'utilisation de tunnels sécurisés tels que TLS et VPN IPsec ; (c) le déploiement d'un serveur « passerelle » doté de défenses périmétriques et d'une protection adéquates, telles qu'un pare-feu, un IPS et un antivirus ; et (d) la fermeture des ports concernés immédiatement après l'expiration de l'accès à distance. | Assurez-vous que vos clusters Amazon Redshift nécessitent un chiffrement TLS/SSL pour se connecter aux clients SQL. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| Annexe 5.6 | Assurez-vous que les contrôles de sécurité de l'accès à distance au serveur incluent les éléments suivants : (a) la limitation de l'accès aux seuls dispositifs de points de terminaison sécurisés et verrouillés ; (b) l'utilisation de tunnels sécurisés tels que TLS et VPN IPsec ; (c) le déploiement d'un serveur « passerelle » doté de défenses périmétriques et d'une protection adéquates, telles qu'un pare-feu, un IPS et un antivirus ; et (d) la fermeture des ports concernés immédiatement après l'expiration de l'accès à distance. | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent contribuer à la gestion de l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS La restriction de tout le trafic sur le groupe de sécurité par défaut permet de restreindre l'accès à distance à vos AWS ressources. | |
| Annexe 5.6 | Assurez-vous que les contrôles de sécurité de l'accès à distance au serveur incluent les éléments suivants : (a) la limitation de l'accès aux seuls dispositifs de points de terminaison sécurisés et verrouillés ; (b) l'utilisation de tunnels sécurisés tels que TLS et VPN IPsec ; (c) le déploiement d'un serveur « passerelle » doté de défenses périmétriques et d'une protection adéquates, telles qu'un pare-feu, un IPS et un antivirus ; et (d) la fermeture des ports concernés immédiatement après l'expiration de l'accès à distance. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. En limitant l'accès aux ressources d'un groupe de sécurité depuis Internet (0.0.0.0/0), il est possible de contrôler l'accès à distance aux systèmes internes. | |
| Annexe 10 Partie B - 1 (a) | Une institution financière doit concevoir une architecture cloud robuste et veiller à ce que cette conception soit conforme aux normes internationales pertinentes pour l'application prévue. | La gestion centralisée Comptes AWS au sein des AWS Organisations permet de garantir la conformité des comptes. L'absence de gouvernance centralisée des comptes peut entraîner des configurations de comptes incohérentes, ce qui peut exposer des ressources et des données sensibles. | |
| Annexe 10 Partie B - 1 (b) | Une institution financière est encouragée à adopter les principes de confiance zéro afin de fournir une architecture cyberrésiliente en adoptant une approche fondée sur le principe de « présomption de violation », en defense-in-depth combinant la microsegmentation, les droits d'accès « » et en procédant à une inspection approfondie et à une validation continue, le cas échéant. deny-by-default | Assurez-vous que AWS le WAF est activé sur les Elastic Load Balancers (ELB) pour protéger les applications Web. Un WAF aide à protéger vos applications Web ou API contre les menaces Web courantes. Ces attaques Web peuvent affecter la disponibilité, compromettre la sécurité ou consommer des ressources excessives dans votre environnement. | |
| Annexe 10 Partie B - 1 (b) | Une institution financière est encouragée à adopter les principes de confiance zéro afin de fournir une architecture cyberrésiliente en adoptant une approche fondée sur le principe de « présomption de violation », en defense-in-depth combinant la microsegmentation, les droits d'accès « » et en procédant à une inspection approfondie et à une validation continue, le cas échéant. deny-by-default | Gérez l'accès au AWS cloud en vous assurant qu'aucune adresse IP publique n'est automatiquement attribuée aux sous-réseaux Amazon Virtual Private Cloud (VPC). Les instances Amazon Elastic Compute Cloud (EC2) lancées dans des sous-réseaux pour lesquels cet attribut est activé ont une adresse IP publique attribuée à leur interface réseau principale. | |
| Annexe 10 Partie B - 1 (b) | Une institution financière est encouragée à adopter les principes de confiance zéro afin de fournir une architecture cyberrésiliente en adoptant une approche fondée sur le principe de « présomption de violation », en defense-in-depth combinant la microsegmentation, les droits d'accès « » et en procédant à une inspection approfondie et à une validation continue, le cas échéant. deny-by-default | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent contribuer à la gestion de l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS La restriction de tout le trafic sur le groupe de sécurité par défaut permet de restreindre l'accès à distance à vos AWS ressources. | |
| Annexe 10 Partie B - 1 (b) | Une institution financière est encouragée à adopter les principes de confiance zéro afin de fournir une architecture cyberrésiliente en adoptant une approche fondée sur le principe de « présomption de violation », en defense-in-depth combinant la microsegmentation, les droits d'accès « » et en procédant à une inspection approfondie et à une validation continue, le cas échéant. deny-by-default | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. En limitant l'accès aux ressources d'un groupe de sécurité depuis Internet (0.0.0.0/0), il est possible de contrôler l'accès à distance aux systèmes internes. | |
| Annexe 10 Partie B - 1 (c) | Une institution financière doit utiliser l'approche d'architecture réseau la plus récente ainsi que des concepts et solutions de conception de réseau appropriés pour gérer et surveiller la sécurité granulaire du réseau et la fourniture centralisée du réseau afin de gérer la complexité de l'environnement réseau dans le cloud. | Amazon GuardDuty peut aider à surveiller et à détecter les événements de cybersécurité potentiels en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
| Annexe 10 Partie B - 1 (c) | Une institution financière doit utiliser l'approche d'architecture réseau la plus récente ainsi que des concepts et solutions de conception de réseau appropriés pour gérer et surveiller la sécurité granulaire du réseau et la fourniture centralisée du réseau afin de gérer la complexité de l'environnement réseau dans le cloud. | Les journaux de flux VPC fournissent des informations détaillées sur le trafic IP circulant vers et depuis les interfaces réseau de votre réseau Amazon Virtual Private Cloud (Amazon VPC). Par défaut, le journal de flux inclut des valeurs pour les différents composants du flux IP, y compris la source, la destination et le protocole. | |
| Annexe 10 Partie B - 1 (d) | Une institution financière doit établir et utiliser des canaux de communication sécurisés et chiffrés pour migrer les serveurs physiques, les applications ou les données vers les plateformes cloud. | Gérez l'accès au AWS cloud en vous assurant que les instances de réplication DMS ne sont pas accessibles au public. Les instances de réplication DMS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| Annexe 10 Partie B - 1 (d) | Une institution financière doit établir et utiliser des canaux de communication sécurisés et chiffrés pour migrer les serveurs physiques, les applications ou les données vers les plateformes cloud. | Pour protéger les données en transit, assurez-vous que vos compartiments Amazon Simple Storage Service (Amazon S3) exigent que les demandes utilisent Secure Socket Layer (SSL). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| Annexe 10 Partie B - 1 (f) i) | L'utilisation croissante d'interfaces de programmation d'applications (API) par les institutions financières pour s'interconnecter avec des fournisseurs de services d'applications externes est susceptible d'améliorer l'efficacité de la prestation de nouveaux services. Cette tendance peut toutefois augmenter la surface des cyberattaques et une mauvaise gestion peut amplifier l'impact d'un incident de sécurité de l'information. Une institution financière doit veiller à ce que ses API soient soumises à des mécanismes de gestion et de contrôle rigoureux, en garantissant notamment les points suivants : i) les API doivent être conçues pour garantir la résilience des services afin d'éviter le risque de points de défaillance uniques et elles doivent être configurées de manière sécurisée avec des contrôles d'accès appropriés ; | Assurez-vous que votre routage d'API Amazon API Gateway v2 présente un type d'autorisation défini pour empêcher tout accès non autorisé aux ressources backend sous-jacentes. | |
| Annexe 10 Partie B - 1 (f) (ii) | L'utilisation croissante d'interfaces de programmation d'applications (API) par les institutions financières pour s'interconnecter avec des fournisseurs de services d'applications externes est susceptible d'améliorer l'efficacité de la prestation de nouveaux services. Cette tendance peut toutefois augmenter la surface des cyberattaques et une mauvaise gestion peut amplifier l'impact d'un incident de sécurité de l'information. Une institution financière doit veiller à ce que ses API soient soumises à des mécanismes de gestion et de contrôle rigoureux, en garantissant notamment les points suivants : ii) les API doivent être suivies et surveillées par rapport aux cyberattaques avec des mesures de réponse aux incidents adéquates et être mises hors service rapidement lorsqu'elles ne sont plus utilisées. | AWS Le WAF vous permet de configurer un ensemble de règles (appelé liste de contrôle d'accès Web (ACL Web)) qui autorisent, bloquent ou comptent les requêtes Web en fonction de règles et de conditions de sécurité Web personnalisables que vous définissez. Assurez-vous que votre étape Amazon API Gateway est associée à une liste ACL Web WAF pour la protéger contre les attaques malveillantes | |
| Annexe 10 Partie B - 1 (f) (ii) | L'utilisation croissante d'interfaces de programmation d'applications (API) par les institutions financières pour s'interconnecter avec des fournisseurs de services d'applications externes est susceptible d'améliorer l'efficacité de la prestation de nouveaux services. Cette tendance peut toutefois augmenter la surface des cyberattaques et une mauvaise gestion peut amplifier l'impact d'un incident de sécurité de l'information. Une institution financière doit veiller à ce que ses API soient soumises à des mécanismes de gestion et de contrôle rigoureux, en garantissant notamment les points suivants : ii) les API doivent être suivies et surveillées par rapport aux cyberattaques avec des mesures de réponse aux incidents adéquates et être mises hors service rapidement lorsqu'elles ne sont plus utilisées. | La journalisation d'API Gateway affiche des vues détaillées des utilisateurs qui ont accédé à l'API et de la manière dont ils y ont accédé. Ces informations offrent une visibilité sur les activités des utilisateurs. | |
| Annexe 10 Partie B - 2 (b) ii) | Une institution financière doit continuellement tirer parti des capacités améliorées du cloud pour renforcer la sécurité des services cloud et les institutions financières sont, entre autres, encouragées à : ii) utiliser des pratiques d'infrastructure immuables pour le déploiement des services afin de réduire le risque de défaillance en créant un nouvel environnement doté de la dernière version stable du logiciel. La surveillance continue de l'environnement cloud doit inclure l'automatisation de la détection des modifications apportées à l'infrastructure immuable afin d'améliorer le contrôle de la conformité et la lutte contre les cyberattaques en constante évolution | Pour détecter les modifications involontaires apportées aux AWS ressources sous-jacentes, assurez-vous que votre CloudFormation stack est configuré pour envoyer des notifications d'événements à une rubrique Amazon SNS. | |
| Annexe 10 Partie B - 3 (b) vi) | Une institution financière doit veiller à ce que les images des machines virtuelles et des conteneurs soient configurées, renforcées et surveillées de manière appropriée. Cette démarche inclut les éléments suivants : vi) les images stockées sont soumises à une surveillance de sécurité contre tout accès et toute modification non autorisés. | Cette règle permet de garantir l'utilisation des meilleures pratiques de sécurité AWS recommandées pour AWS CloudTrail, en vérifiant l'activation de plusieurs paramètres. Il s'agit notamment de l'utilisation du chiffrement des journaux, de la validation des journaux et de AWS CloudTrail l'activation dans plusieurs régions. | |
| Annexe 10 Partie B - 5 (a) i) | Afin de garantir une fonctionnalité de reprise efficace, les institutions financières doivent veiller à ce que les procédures de sauvegarde et de restauration existantes soient étendues aux services cloud, notamment en procédant comme suit : i) définir et formaliser une stratégie de sauvegarde et de restauration au stade de la planification de l'adoption du cloud ; | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos ressources Amazon Aurora font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
| Annexe 10 Partie B - 5 (a) i) | Afin de garantir une fonctionnalité de reprise efficace, les institutions financières doivent veiller à ce que les procédures de sauvegarde et de restauration existantes soient étendues aux services cloud, notamment en procédant comme suit : i) définir et formaliser une stratégie de sauvegarde et de restauration au stade de la planification de l'adoption du cloud ; | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos ressources Amazon DynamoDB font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
| Annexe 10 Partie B - 5 (a) i) | Afin de garantir une fonctionnalité de reprise efficace, les institutions financières doivent veiller à ce que les procédures de sauvegarde et de restauration existantes soient étendues aux services cloud, notamment en procédant comme suit : i) définir et formaliser une stratégie de sauvegarde et de restauration au stade de la planification de l'adoption du cloud ; | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos ressources Amazon Elastic Block Store (Amazon EBS) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
| Annexe 10 Partie B - 5 (a) i) | Afin de garantir une fonctionnalité de reprise efficace, les institutions financières doivent veiller à ce que les procédures de sauvegarde et de restauration existantes soient étendues aux services cloud, notamment en procédant comme suit : i) définir et formaliser une stratégie de sauvegarde et de restauration au stade de la planification de l'adoption du cloud ; | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos systèmes de fichiers Amazon Elastic File System (Amazon EFS) font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
| Annexe 10 Partie B - 5 (a) i) | Afin de garantir une fonctionnalité de reprise efficace, les institutions financières doivent veiller à ce que les procédures de sauvegarde et de restauration existantes soient étendues aux services cloud, notamment en procédant comme suit : i) définir et formaliser une stratégie de sauvegarde et de restauration au stade de la planification de l'adoption du cloud ; | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos ressources Amazon Relational Database Service (Amazon RDS) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
| Annexe 10 Partie B - 5 (a) i) | Afin de garantir une fonctionnalité de reprise efficace, les institutions financières doivent veiller à ce que les procédures de sauvegarde et de restauration existantes soient étendues aux services cloud, notamment en procédant comme suit : i) définir et formaliser une stratégie de sauvegarde et de restauration au stade de la planification de l'adoption du cloud ; | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos compartiments Amazon Simple Storage Service (S3) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
| Annexe 10 Partie B - 5 (b) | Une institution financière doit veiller à ce que les procédures de sauvegarde et de restauration soient testées périodiquement afin de valider les fonctionnalités de reprise. La fréquence des procédures de sauvegarde doit être proportionnelle à la criticité du système et à l'objectif de point de reprise (RPO) du système. Des mesures correctives doivent être prises rapidement par l'institution financière en cas d'échec des sauvegardes. | Pour faciliter les processus de sauvegarde des données, assurez-vous que votre plan AWS de sauvegarde est défini pour une fréquence et une rétention minimales. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. Cette règle vous permet de définir les paramètres requiredFrequencyValue (Config par défaut : 1), requiredRetentionDays (Config par défaut : 35) et requiredFrequencyUnit (Config par défaut : jours). La valeur réelle doit refléter les exigences de votre organisation. | |
| Annexe 10 Partie B - 5 (c) i) | Un établissement financier doit garantir une sauvegarde et une restauration suffisantes de la machine virtuelle et du conteneur, y compris les paramètres de configuration de sauvegarde (pour l'IaaS et le PaaS, le cas échéant), notamment les éléments suivants : i) garantir la capacité de restaurer une machine virtuelle et un conteneur point-in-time conformément aux objectifs de reprise d'activité ; | Pour faciliter les processus de sauvegarde des données, assurez-vous que votre plan AWS de sauvegarde est défini pour une fréquence et une rétention minimales. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. Cette règle vous permet de définir les paramètres requiredFrequencyValue (Config par défaut : 1), requiredRetentionDays (Config par défaut : 35) et requiredFrequencyUnit (Config par défaut : jours). La valeur réelle doit refléter les exigences de votre organisation. | |
| Annexe 10 Partie B - 5 (d) i) | Une institution financière doit évaluer les exigences de résilience des services cloud et identifier les mesures appropriées adaptées à la criticité du système, afin de garantir la disponibilité des services dans les scénarios les plus défavorables. Les institutions financières doivent envisager une approche fondée sur le risque et adopter progressivement des contrôles d'atténuation appropriés pour garantir la disponibilité des services et atténuer le risque de concentration. Parmi les options viables figurent : i) tirer parti des fonctionnalités de haute disponibilité et de redondance des services cloud pour garantir que les centres de données de production disposent d'une capacité redondante dans les différentes zones de disponibilité ; | Pour garantir une haute disponibilité, assurez-vous que votre groupe Auto Scaling est configuré pour couvrir plusieurs zones de disponibilité. | |
| Annexe 10 Partie B - 5 (d) i) | Une institution financière doit évaluer les exigences de résilience des services cloud et identifier les mesures appropriées adaptées à la criticité du système, afin de garantir la disponibilité des services dans les scénarios les plus défavorables. Les institutions financières doivent envisager une approche fondée sur le risque et adopter progressivement des contrôles d'atténuation appropriés pour garantir la disponibilité des services et atténuer le risque de concentration. Parmi les options viables figurent : i) tirer parti des fonctionnalités de haute disponibilité et de redondance des services cloud pour garantir que les centres de données de production disposent d'une capacité redondante dans les différentes zones de disponibilité ; | Elastic Load Balancing (ELB) distribue automatiquement votre trafic entrant sur plusieurs cibles telles que des instances EC2, des conteneurs et des adresses IP), dans une zone de disponibilité. Pour garantir une disponibilité élevée, vérifiez que votre ELB a enregistré des instances provenant de plusieurs zones de disponibilité. | |
| Annexe 10 Partie B - 5 (d) i) | Une institution financière doit évaluer les exigences de résilience des services cloud et identifier les mesures appropriées adaptées à la criticité du système, afin de garantir la disponibilité des services dans les scénarios les plus défavorables. Les institutions financières doivent envisager une approche fondée sur le risque et adopter progressivement des contrôles d'atténuation appropriés pour garantir la disponibilité des services et atténuer le risque de concentration. Parmi les options viables figurent : i) tirer parti des fonctionnalités de haute disponibilité et de redondance des services cloud pour garantir que les centres de données de production disposent d'une capacité redondante dans les différentes zones de disponibilité ; | Si votre fonction AWS Lambda est configurée pour se connecter à un cloud privé virtuel (VPC) dans votre compte, déployez la fonction AWS Lambda dans au moins deux zones de disponibilité différentes afin de vous assurer que votre fonction est disponible pour traiter les événements en cas d'interruption de service dans une seule zone. | |
| Annexe 10 Partie B - 5 (d) i) | Une institution financière doit évaluer les exigences de résilience des services cloud et identifier les mesures appropriées adaptées à la criticité du système, afin de garantir la disponibilité des services dans les scénarios les plus défavorables. Les institutions financières doivent envisager une approche fondée sur le risque et adopter progressivement des contrôles d'atténuation appropriés pour garantir la disponibilité des services et atténuer le risque de concentration. Parmi les options viables figurent : i) tirer parti des fonctionnalités de haute disponibilité et de redondance des services cloud pour garantir que les centres de données de production disposent d'une capacité redondante dans les différentes zones de disponibilité ; | Activez l'équilibrage de charge entre zones pour vos NetworkLoad équilibreurs (NLB) afin de maintenir une capacité et une disponibilité adéquates. L'équilibrage de charge entre zones réduit la nécessité de maintenir un nombre équivalent d'instances dans chaque zone de disponibilité activée. Cela améliore également la capacité de votre application à gérer la perte d'une ou de plusieurs instances. | |
| Annexe 10 Partie B - 5 (d) i) | Une institution financière doit évaluer les exigences de résilience des services cloud et identifier les mesures appropriées adaptées à la criticité du système, afin de garantir la disponibilité des services dans les scénarios les plus défavorables. Les institutions financières doivent envisager une approche fondée sur le risque et adopter progressivement des contrôles d'atténuation appropriés pour garantir la disponibilité des services et atténuer le risque de concentration. Parmi les options viables figurent : i) tirer parti des fonctionnalités de haute disponibilité et de redondance des services cloud pour garantir que les centres de données de production disposent d'une capacité redondante dans les différentes zones de disponibilité ; | La réplication multi-AZ doit être activée sur les clusters Amazon Relational Database Service (Amazon RDS) afin de garantir la disponibilité des données stockées. Chaque zone de disponibilité fonctionne sur sa propre infrastructure physiquement distincte et indépendante, et est conçue pour être hautement fiable. En cas de défaillance de l'infrastructure, Amazon RDS effectue un basculement automatique vers l'instance de secours afin que vous puissiez poursuivre les opérations de base de données dès que le basculement est terminé. | |
| Annexe 10 Partie B - 5 (d) i) | Une institution financière doit évaluer les exigences de résilience des services cloud et identifier les mesures appropriées adaptées à la criticité du système, afin de garantir la disponibilité des services dans les scénarios les plus défavorables. Les institutions financières doivent envisager une approche fondée sur le risque et adopter progressivement des contrôles d'atténuation appropriés pour garantir la disponibilité des services et atténuer le risque de concentration. Parmi les options viables figurent : i) tirer parti des fonctionnalités de haute disponibilité et de redondance des services cloud pour garantir que les centres de données de production disposent d'une capacité redondante dans les différentes zones de disponibilité ; | La prise en charge multi-AZ dans Amazon Relational Database Service (Amazon RDS) offre une disponibilité et une durabilité améliorées pour les instances de base de données. Lorsque vous mettez en service une instance de base de données multi-AZ, Amazon RDS crée automatiquement une instance de base de données principale et réplique de manière synchrone les données vers une instance de secours dans une autre zone de disponibilité. Chaque zone de disponibilité fonctionne sur sa propre infrastructure physiquement distincte et indépendante, et est conçue pour être hautement fiable. En cas de défaillance de l'infrastructure, Amazon RDS effectue un basculement automatique vers l'instance de secours afin que vous puissiez poursuivre les opérations de base de données dès que le basculement est terminé. | |
| Annexe 10 Partie B - 8 (a) | Une institution financière doit mettre en œuvre des techniques de chiffrement appropriées et pertinentes pour protéger la confidentialité et l'intégrité des données sensibles stockées dans le cloud. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour le cache de votre environnement API Gateway. Étant donné que des données sensibles peuvent être capturées pour la méthode API, activez le chiffrement au repos pour protéger ces données. | |
| Annexe 10 Partie B - 8 (a) | Une institution financière doit mettre en œuvre des techniques de chiffrement appropriées et pertinentes pour protéger la confidentialité et l'intégrité des données sensibles stockées dans le cloud. | Assurez-vous que le chiffrement est activé pour vos points AWS de restauration Backup. Comme il peut y avoir des données sensibles au repos, activez le chiffrement au repos pour protéger ces données. | |
| Annexe 10 Partie B - 8 (a) | Une institution financière doit mettre en œuvre des techniques de chiffrement appropriées et pertinentes pour protéger la confidentialité et l'intégrité des données sensibles stockées dans le cloud. | Cette règle permet de garantir l'utilisation des meilleures pratiques de sécurité AWS recommandées pour AWS CloudTrail, en vérifiant l'activation de plusieurs paramètres. Il s'agit notamment de l'utilisation du chiffrement des journaux, de la validation des journaux et de AWS CloudTrail l'activation dans plusieurs régions. | |
| Annexe 10 Partie B - 8 (a) | Une institution financière doit mettre en œuvre des techniques de chiffrement appropriées et pertinentes pour protéger la confidentialité et l'intégrité des données sensibles stockées dans le cloud. | Pour protéger les données sensibles au repos, assurez-vous que le chiffrement est activé pour vos Amazon CloudWatch Log Groups. | |
| Annexe 10 Partie B - 8 (a) | Une institution financière doit mettre en œuvre des techniques de chiffrement appropriées et pertinentes pour protéger la confidentialité et l'intégrité des données sensibles stockées dans le cloud. | Assurez-vous que le chiffrement est activé pour vos tables Amazon DynamoDB. Comme il peut y avoir des données sensibles au repos dans ces tables, activez le chiffrement au repos pour protéger ces données. Par défaut, les tables DynamoDB sont chiffrées à l'aide AWS d'une clé principale propre au client (CMK). | |
| Annexe 10 Partie B - 8 (a) | Une institution financière doit mettre en œuvre des techniques de chiffrement appropriées et pertinentes pour protéger la confidentialité et l'intégrité des données sensibles stockées dans le cloud. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (Amazon EBS). Comme il peut y avoir des données sensibles au repos dans ces volumes, activez le chiffrement au repos pour protéger ces données. | |
| Annexe 10 Partie B - 8 (a) | Une institution financière doit mettre en œuvre des techniques de chiffrement appropriées et pertinentes pour protéger la confidentialité et l'intégrité des données sensibles stockées dans le cloud. | Comme il peut y avoir des données sensibles et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour votre Amazon Elastic File System (EFS). | |
| Annexe 10 Partie B - 8 (a) | Une institution financière doit mettre en œuvre des techniques de chiffrement appropriées et pertinentes pour protéger la confidentialité et l'intégrité des données sensibles stockées dans le cloud. | Pour protéger les données au repos, assurez-vous que la configuration de vos clusters Amazon Elastic Kubernetes Service (Amazon EKS) soit compatible avec le chiffrement des secrets Kubernetes. Comme il peut y avoir des données sensibles au repos dans ces volumes, activez le chiffrement au repos pour protéger ces données. | |
| Annexe 10 Partie B - 8 (a) | Une institution financière doit mettre en œuvre des techniques de chiffrement appropriées et pertinentes pour protéger la confidentialité et l'intégrité des données sensibles stockées dans le cloud. | Comme il peut y avoir des données sensibles et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (Amazon EBS). | |
| Annexe 10 Partie B - 8 (a) | Une institution financière doit mettre en œuvre des techniques de chiffrement appropriées et pertinentes pour protéger la confidentialité et l'intégrité des données sensibles stockées dans le cloud. | Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos domaines Amazon OpenSearch Service. | |
| Annexe 10 Partie B - 8 (a) | Une institution financière doit mettre en œuvre des techniques de chiffrement appropriées et pertinentes pour protéger la confidentialité et l'intégrité des données sensibles stockées dans le cloud. | Assurez-vous que le chiffrement est activé pour vos instantanés Amazon Relational Database Service (Amazon RDS). Comme il peut y avoir des données sensibles au repos, activez le chiffrement au repos pour protéger ces données. | |
| Annexe 10 Partie B - 8 (a) | Une institution financière doit mettre en œuvre des techniques de chiffrement appropriées et pertinentes pour protéger la confidentialité et l'intégrité des données sensibles stockées dans le cloud. | Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWS KMS) est activé pour votre cluster Amazon Redshift. Comme il peut y avoir des données sensibles au repos dans les clusters Redshift, activez le chiffrement au repos pour protéger ces données. | |
| Annexe 10 Partie B - 8 (a) | Une institution financière doit mettre en œuvre des techniques de chiffrement appropriées et pertinentes pour protéger la confidentialité et l'intégrité des données sensibles stockées dans le cloud. | Assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans un compartiment Amazon S3, activez le chiffrement au repos pour protéger ces données. | |
| Annexe 10 Partie B - 8 (a) | Une institution financière doit mettre en œuvre des techniques de chiffrement appropriées et pertinentes pour protéger la confidentialité et l'intégrité des données sensibles stockées dans le cloud. | Pour protéger les données au repos, assurez-vous que le chiffrement avec le AWS Key Management Service (AWS KMS) est activé pour les AWS secrets de Secrets Manager. Comme il peut y avoir des données sensibles au repos dans les secrets de Secrets Manager, activez le chiffrement au repos pour protéger ces données. | |
| Annexe 10 Partie B - 8 (a) | Une institution financière doit mettre en œuvre des techniques de chiffrement appropriées et pertinentes pour protéger la confidentialité et l'intégrité des données sensibles stockées dans le cloud. | Pour protéger les données au repos, assurez-vous que vos rubriques Amazon Simple Notification Service (Amazon SNS) nécessitent un chiffrement à l' AWS aide du Key Management Service AWS (KMS). Comme il peut y avoir des données sensibles au repos dans les messages publiés, activez le chiffrement au repos pour protéger ces données. | |
| Annexe 10 Partie B - 8 (d) | Avec l'adoption croissante du cloud, la gestion de nombreuses clés de chiffrement utilisées pour protéger les données est devenue plus complexe et peut introduire de nouveaux défis pour les institutions financières. Une institution financière doit adopter une approche globale et centralisée en matière de gestion des clés, notamment en utilisant un système de gestion des clés centralisé capable de gérer les générations, le stockage et la distribution des clés de manière sécurisée et évolutive. | Activez la rotation des clés pour vous assurer que les clés sont pivotées une fois qu'elles ont atteint la fin de leur période de chiffrement. | |
| Annexe 10 Partie B - 8 (d) | Avec l'adoption croissante du cloud, la gestion de nombreuses clés de chiffrement utilisées pour protéger les données est devenue plus complexe et peut introduire de nouveaux défis pour les institutions financières. Une institution financière doit adopter une approche globale et centralisée en matière de gestion des clés, notamment en utilisant un système de gestion des clés centralisé capable de gérer les générations, le stockage et la distribution des clés de manière sécurisée et évolutive. | Pour protéger les données au repos, assurez-vous que la suppression des clés principales du client (CMK) nécessaires n'est pas planifiée dans le service de gestion des AWS clés (AWS KMS). La suppression de clés étant parfois nécessaire, cette règle peut aider à vérifier toutes les clés dont la suppression est prévue, au cas où la suppression d'une clé aurait été planifiée par inadvertance. | |
| Annexe 10 Partie B - 9 (a) ii) | Le plan de gestion constitue une différence de sécurité essentielle entre l'infrastructure traditionnelle et le cloud computing, où l'accès à distance est pris en charge par défaut. Cette couche d'accès peut être sujette aux cyberattaques, compromettant ainsi l'intégrité du déploiement dans le cloud. Dans cette optique, les institutions financières devraient veiller à l'utilisation de contrôles stricts pour accéder au plan de gestion, qui peuvent inclure les éléments suivants : ii) mettre en œuvre le « moindre privilège » et une authentification multifactorielle forte (MFA), par exemple un mot de passe fort, un jeton logiciel, un outil de gestion des accès privilégiés et des fonctions de vérification ; | Les identités et les informations d'identification sont émises, gérées et vérifiées conformément à une politique de mot de passe IAM organisationnelle. Ils respectent ou dépassent les exigences énoncées par le NIST SP 800-63 et par la norme AWS Foundational Security Best Practices en matière de robustesse des mots de passe. Cette règle vous permet de définir éventuellement RequireUppercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireLowercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireSymbols (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireNumbers (valeur des meilleures pratiques de sécurité de AWS base : vrai), MinimumPasswordLength (valeur des meilleures pratiques de sécurité de AWS base : 14), PasswordReusePrevention (valeur des meilleures pratiques de sécurité de AWS base : 24) et MaxPasswordAge (valeur des meilleures pratiques de sécurité de AWS base : 90) pour votre IAM Politique de mot de passe. Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| Annexe 10 Partie B - 9 (a) ii) | Le plan de gestion constitue une différence de sécurité essentielle entre l'infrastructure traditionnelle et le cloud computing, où l'accès à distance est pris en charge par défaut. Cette couche d'accès peut être sujette aux cyberattaques, compromettant ainsi l'intégrité du déploiement dans le cloud. Dans cette optique, les institutions financières devraient veiller à l'utilisation de contrôles stricts pour accéder au plan de gestion, qui peuvent inclure les éléments suivants : ii) mettre en œuvre le « moindre privilège » et une authentification multifactorielle forte (MFA), par exemple un mot de passe fort, un jeton logiciel, un outil de gestion des accès privilégiés et des fonctions de vérification ; | Activez cette règle pour restreindre l'accès aux ressources dans le AWS cloud. Cette règle garantit que l'authentification multifactorielle (MFA) est activée pour tous les utilisateurs IAM. L'authentification MFA ajoute une couche de sécurité supplémentaire, en plus d'un nom d'utilisateur et d'un mot de passe. Réduisez les incidents de comptes compromis en imposant la MFA aux utilisateurs IAM. | |
| Annexe 10 Partie B - 9 (a) ii) | Le plan de gestion constitue une différence de sécurité essentielle entre l'infrastructure traditionnelle et le cloud computing, où l'accès à distance est pris en charge par défaut. Cette couche d'accès peut être sujette aux cyberattaques, compromettant ainsi l'intégrité du déploiement dans le cloud. Dans cette optique, les institutions financières devraient veiller à l'utilisation de contrôles stricts pour accéder au plan de gestion, qui peuvent inclure les éléments suivants : ii) mettre en œuvre le « moindre privilège » et une authentification multifactorielle forte (MFA), par exemple un mot de passe fort, un jeton logiciel, un outil de gestion des accès privilégiés et des fonctions de vérification ; | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le matériel MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. L'authentification MFA ajoute une couche de sécurité supplémentaire pour un nom d'utilisateur et un mot de passe. En exigeant l'authentification MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission. Comptes AWS | |
| Annexe 10 Partie B - 9 (a) ii) | Le plan de gestion constitue une différence de sécurité essentielle entre l'infrastructure traditionnelle et le cloud computing, où l'accès à distance est pris en charge par défaut. Cette couche d'accès peut être sujette aux cyberattaques, compromettant ainsi l'intégrité du déploiement dans le cloud. Dans cette optique, les institutions financières devraient veiller à l'utilisation de contrôles stricts pour accéder au plan de gestion, qui peuvent inclure les éléments suivants : ii) mettre en œuvre le « moindre privilège » et une authentification multifactorielle forte (MFA), par exemple un mot de passe fort, un jeton logiciel, un outil de gestion des accès privilégiés et des fonctions de vérification ; | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. L'authentification MFA ajoute une couche de sécurité supplémentaire pour un nom d'utilisateur et un mot de passe. En exigeant l'authentification MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission. Comptes AWS | |
| Annexe 10 Partie B - 9 (a) iii) | Le plan de gestion constitue une différence de sécurité essentielle entre l'infrastructure traditionnelle et le cloud computing, où l'accès à distance est pris en charge par défaut. Cette couche d'accès peut être sujette aux cyberattaques, compromettant ainsi l'intégrité du déploiement dans le cloud. Dans cette optique, les institutions financières doivent garantir l'utilisation de contrôles stricts pour accéder au plan de gestion, en procédant comme suit : iii) utiliser une attribution granulaire des droits des utilisateurs privilégiés ; | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| Annexe 10 Partie B - 9 (a) iii) | Le plan de gestion constitue une différence de sécurité essentielle entre l'infrastructure traditionnelle et le cloud computing, où l'accès à distance est pris en charge par défaut. Cette couche d'accès peut être sujette aux cyberattaques, compromettant ainsi l'intégrité du déploiement dans le cloud. Dans cette optique, les institutions financières doivent garantir l'utilisation de contrôles stricts pour accéder au plan de gestion, en procédant comme suit : iii) utiliser une attribution granulaire des droits des utilisateurs privilégiés ; | Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les risques qu'une identité reçoive ou conserve des privilèges excessifs. | |
| Annexe 10 Partie B - 9 (a) iv) | Le plan de gestion constitue une différence de sécurité essentielle entre l'infrastructure traditionnelle et le cloud computing, où l'accès à distance est pris en charge par défaut. Cette couche d'accès peut être sujette aux cyberattaques, compromettant ainsi l'intégrité du déploiement dans le cloud. Dans cette optique, les institutions financières doivent veiller à utiliser des contrôles stricts pour accéder au plan de gestion, en procédant comme suit : iv) réaliser une surveillance continue des activités effectuées par les utilisateurs privilégiés ; | Cette règle permet de garantir l'utilisation des meilleures pratiques de sécurité AWS recommandées pour AWS CloudTrail, en vérifiant l'activation de plusieurs paramètres. Il s'agit notamment de l'utilisation du chiffrement des journaux, de la validation des journaux et de AWS CloudTrail l'activation dans plusieurs régions. | |
| Annexe 10 Partie B - 9 (a) iv) | Le plan de gestion constitue une différence de sécurité essentielle entre l'infrastructure traditionnelle et le cloud computing, où l'accès à distance est pris en charge par défaut. Cette couche d'accès peut être sujette aux cyberattaques, compromettant ainsi l'intégrité du déploiement dans le cloud. Dans cette optique, les institutions financières doivent veiller à utiliser des contrôles stricts pour accéder au plan de gestion, en procédant comme suit : iv) réaliser une surveillance continue des activités effectuées par les utilisateurs privilégiés ; | Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des détails sur l'activité des appels d'API au sein de votre Compte AWS. | |
| Annexe 10 Partie B - 12 (a) | Une institution financière doit protéger les données hébergées dans les services cloud conformément à la section Prévention contre la perte de données (paragraphes 11.14 à 11.16) de la présente politique, notamment en augmentant l'empreinte des points de terminaison si l'institution financière autorise ses collaborateurs à utiliser leurs propres appareils pour accéder aux données sensibles. | Amazon GuardDuty peut aider à surveiller et à détecter les événements de cybersécurité potentiels en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
| Annexe 10 Partie B - 12 (a) | Une institution financière doit protéger les données hébergées dans les services cloud conformément à la section Prévention contre la perte de données (paragraphes 11.14 à 11.16) de la présente politique, notamment en augmentant l'empreinte des points de terminaison si l'institution financière autorise ses collaborateurs à utiliser leurs propres appareils pour accéder aux données sensibles. | Amazon Macie est un service dédié à la sécurité des données qui utilise le machine learning (ML) et la correspondance de modèles pour identifier et protéger vos données sensibles dans les compartiments Amazon Simple Storage Service (Amazon S3). | |
| Annexe 10 Partie B - 14 (c) i) | Une institution financière doit envisager les mesures supplémentaires suivantes dans le cadre de l'élaboration de son CIRP : i) améliorer sa capacité à détecter les incidents de sécurité afin de garantir une gestion efficace des incidents, y compris la capacité à détecter les fuites de données sur le dark Web ; | Amazon GuardDuty peut aider à surveiller et à détecter les événements de cybersécurité potentiels en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
| Annexe 10 Partie B - 14 (c) i) | Une institution financière doit envisager les mesures supplémentaires suivantes dans le cadre de l'élaboration de son CIRP : i) améliorer sa capacité à détecter les incidents de sécurité afin de garantir une gestion efficace des incidents, y compris la capacité à détecter les fuites de données sur le dark Web ; | Amazon vous GuardDuty aide à comprendre l'impact d'un incident en classant les résultats par gravité : faible, moyenne et élevée. Vous pouvez utiliser ces classifications pour déterminer les stratégies et les priorités de correction. Cette règle vous permet de définir éventuellement daysLowSev (Config Default : 30), daysMediumSev (Config Default : 7) et daysHighSev (Config Default : 1) pour les résultats non archivés, comme l'exigent les politiques de votre organisation. |
Modèle
Le modèle est disponible sur GitHub : Operational Best Practices for BNM RMiT
