Bonnes pratiques opérationnelles pour BNM RMiT - AWS Config
Modèle

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Bonnes pratiques opérationnelles pour BNM RMiT

Les packs de conformité fournissent un cadre de conformité à usage général conçu pour vous permettre de créer des contrôles de gouvernance en matière de sécurité, d'exploitation ou d'optimisation des coûts à l'aide de AWS Config règles gérées ou personnalisées et d'actions correctives. AWS Config Les packs de conformité, en tant qu'exemples de modèle, ne sont pas conçus pour garantir pleinement la conformité à une norme de gouvernance ou de conformité spécifique. Il vous incombe de déterminer vous-même si votre utilisation des services est conforme aux exigences légales et réglementaires applicables.



Vous trouverez ci-dessous un exemple de mappage entre les règles de Bank Negara Malaysia (BNM) Risk Management in Technology (RMiT) et Managed AWS Config. Chaque règle Config s'applique à une AWS ressource spécifique et concerne un ou plusieurs BNM RMiT contrôles. Un BNM RMiT contrôle peut être associé à plusieurs règles de Config. Reportez-vous au tableau ci-dessous pour obtenir plus de détails et des conseils relatifs à ces mappages.

ID du contrôle Description du contrôle AWS Règle de configuration Conseils
10,18 Une institution financière doit faire preuve de diligence raisonnable et évaluer les contrôles cryptographiques associés à la technologie utilisée afin de protéger la confidentialité, l'intégrité, l'authentification, l'autorisation et la non-répudiation des informations. Lorsqu'une institution financière ne génère pas ses propres clés de chiffrement, elle doit prendre les mesures appropriées pour garantir la mise en place de contrôles et de processus robustes pour gérer les clés de chiffrement. Lorsque cela implique de s'appuyer sur des évaluations effectuées par des tiers, l'institution financière doit déterminer si cette confiance est compatible avec son appétit pour le risque et sa tolérance au risque. Une institution financière doit également tenir dûment compte des ressources système requises pour la prise en charge des contrôles cryptographiques et du risque de réduction de la visibilité du trafic réseau des données chiffrées.

alb-http-to-https-vérification de redirection

 Pour protéger les données en transit, assurez-vous que votre Application Load Balancer redirige automatiquement les demandes non HTTP chiffrées vers. HTTPS Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
10,18 Une institution financière doit faire preuve de diligence raisonnable et évaluer les contrôles cryptographiques associés à la technologie utilisée afin de protéger la confidentialité, l'intégrité, l'authentification, l'autorisation et la non-répudiation des informations. Lorsqu'une institution financière ne génère pas ses propres clés de chiffrement, elle doit prendre les mesures appropriées pour garantir la mise en place de contrôles et de processus robustes pour gérer les clés de chiffrement. Lorsque cela implique de s'appuyer sur des évaluations effectuées par des tiers, l'institution financière doit déterminer si cette confiance est compatible avec son appétit pour le risque et sa tolérance au risque. Une institution financière doit également tenir dûment compte des ressources système requises pour la prise en charge des contrôles cryptographiques et du risque de réduction de la visibilité du trafic réseau des données chiffrées.

api-gw-cache-enabledet crypté

 Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour le cache de votre stage API Gateway. Étant donné que des données sensibles peuvent être capturées pour API cette méthode, activez le chiffrement au repos pour protéger ces données.
10,18 Une institution financière doit faire preuve de diligence raisonnable et évaluer les contrôles cryptographiques associés à la technologie utilisée afin de protéger la confidentialité, l'intégrité, l'authentification, l'autorisation et la non-répudiation des informations. Lorsqu'une institution financière ne génère pas ses propres clés de chiffrement, elle doit prendre les mesures appropriées pour garantir la mise en place de contrôles et de processus robustes pour gérer les clés de chiffrement. Lorsque cela implique de s'appuyer sur des évaluations effectuées par des tiers, l'institution financière doit déterminer si cette confiance est compatible avec son appétit pour le risque et sa tolérance au risque. Une institution financière doit également tenir dûment compte des ressources système requises pour la prise en charge des contrôles cryptographiques et du risque de réduction de la visibilité du trafic réseau des données chiffrées.

api-gw-ssl-enabled

 Assurez-vous que REST API les étapes Amazon API Gateway sont configurées avec SSL des certificats afin de permettre aux systèmes principaux d'authentifier que les demandes proviennent de API Gateway.
10,18 Une institution financière doit faire preuve de diligence raisonnable et évaluer les contrôles cryptographiques associés à la technologie utilisée afin de protéger la confidentialité, l'intégrité, l'authentification, l'autorisation et la non-répudiation des informations. Lorsqu'une institution financière ne génère pas ses propres clés de chiffrement, elle doit prendre les mesures appropriées pour garantir la mise en place de contrôles et de processus robustes pour gérer les clés de chiffrement. Lorsque cela implique de s'appuyer sur des évaluations effectuées par des tiers, l'institution financière doit déterminer si cette confiance est compatible avec son appétit pour le risque et sa tolérance au risque. Une institution financière doit également tenir dûment compte des ressources système requises pour la prise en charge des contrôles cryptographiques et du risque de réduction de la visibilité du trafic réseau des données chiffrées.

backup-recovery-point-encrypted

 Assurez-vous que le chiffrement est activé pour vos points AWS de restauration Backup. Comme il peut y avoir des données sensibles au repos, activez le chiffrement au repos pour protéger ces données.
10,18 Une institution financière doit faire preuve de diligence raisonnable et évaluer les contrôles cryptographiques associés à la technologie utilisée afin de protéger la confidentialité, l'intégrité, l'authentification, l'autorisation et la non-répudiation des informations. Lorsqu'une institution financière ne génère pas ses propres clés de chiffrement, elle doit prendre les mesures appropriées pour garantir la mise en place de contrôles et de processus robustes pour gérer les clés de chiffrement. Lorsque cela implique de s'appuyer sur des évaluations effectuées par des tiers, l'institution financière doit déterminer si cette confiance est compatible avec son appétit pour le risque et sa tolérance au risque. Une institution financière doit également tenir dûment compte des ressources système requises pour la prise en charge des contrôles cryptographiques et du risque de réduction de la visibilité du trafic réseau des données chiffrées.

cloudtrail-security-trail-enabled

 Cette règle permet de garantir l'utilisation des meilleures pratiques de sécurité AWS recommandées pour AWS CloudTrail, en vérifiant l'activation de plusieurs paramètres. Il s'agit notamment de l'utilisation du chiffrement des journaux, de la validation des journaux et de AWS CloudTrail l'activation dans plusieurs régions.
10,18 Une institution financière doit faire preuve de diligence raisonnable et évaluer les contrôles cryptographiques associés à la technologie utilisée afin de protéger la confidentialité, l'intégrité, l'authentification, l'autorisation et la non-répudiation des informations. Lorsqu'une institution financière ne génère pas ses propres clés de chiffrement, elle doit prendre les mesures appropriées pour garantir la mise en place de contrôles et de processus robustes pour gérer les clés de chiffrement. Lorsque cela implique de s'appuyer sur des évaluations effectuées par des tiers, l'institution financière doit déterminer si cette confiance est compatible avec son appétit pour le risque et sa tolérance au risque. Une institution financière doit également tenir dûment compte des ressources système requises pour la prise en charge des contrôles cryptographiques et du risque de réduction de la visibilité du trafic réseau des données chiffrées.

cloudwatch-log-group-encrypted

 Pour protéger les données sensibles au repos, assurez-vous que le chiffrement est activé pour vos Amazon CloudWatch Log Groups.
10,18 Une institution financière doit faire preuve de diligence raisonnable et évaluer les contrôles cryptographiques associés à la technologie utilisée afin de protéger la confidentialité, l'intégrité, l'authentification, l'autorisation et la non-répudiation des informations. Lorsqu'une institution financière ne génère pas ses propres clés de chiffrement, elle doit prendre les mesures appropriées pour garantir la mise en place de contrôles et de processus robustes pour gérer les clés de chiffrement. Lorsque cela implique de s'appuyer sur des évaluations effectuées par des tiers, l'institution financière doit déterminer si cette confiance est compatible avec son appétit pour le risque et sa tolérance au risque. Une institution financière doit également tenir dûment compte des ressources système requises pour la prise en charge des contrôles cryptographiques et du risque de réduction de la visibilité du trafic réseau des données chiffrées.

cmk-backing-key-rotation-activé

 Activez la rotation des clés pour vous assurer que les clés sont pivotées une fois qu'elles ont atteint la fin de leur période de chiffrement.
10,18 Une institution financière doit faire preuve de diligence raisonnable et évaluer les contrôles cryptographiques associés à la technologie utilisée afin de protéger la confidentialité, l'intégrité, l'authentification, l'autorisation et la non-répudiation des informations. Lorsqu'une institution financière ne génère pas ses propres clés de chiffrement, elle doit prendre les mesures appropriées pour garantir la mise en place de contrôles et de processus robustes pour gérer les clés de chiffrement. Lorsque cela implique de s'appuyer sur des évaluations effectuées par des tiers, l'institution financière doit déterminer si cette confiance est compatible avec son appétit pour le risque et sa tolérance au risque. Une institution financière doit également tenir dûment compte des ressources système requises pour la prise en charge des contrôles cryptographiques et du risque de réduction de la visibilité du trafic réseau des données chiffrées.

dynamodb-table-encrypted-kms

 Assurez-vous que le chiffrement est activé pour vos tables Amazon DynamoDB. Comme il peut y avoir des données sensibles au repos dans ces tables, activez le chiffrement au repos pour protéger ces données. Par défaut, les tables DynamoDB sont chiffrées à l'aide AWS d'une clé principale propre au client (). CMK
10,18 Une institution financière doit faire preuve de diligence raisonnable et évaluer les contrôles cryptographiques associés à la technologie utilisée afin de protéger la confidentialité, l'intégrité, l'authentification, l'autorisation et la non-répudiation des informations. Lorsqu'une institution financière ne génère pas ses propres clés de chiffrement, elle doit prendre les mesures appropriées pour garantir la mise en place de contrôles et de processus robustes pour gérer les clés de chiffrement. Lorsque cela implique de s'appuyer sur des évaluations effectuées par des tiers, l'institution financière doit déterminer si cette confiance est compatible avec son appétit pour le risque et sa tolérance au risque. Une institution financière doit également tenir dûment compte des ressources système requises pour la prise en charge des contrôles cryptographiques et du risque de réduction de la visibilité du trafic réseau des données chiffrées.

ec2- ebs-encryption-by-default

 Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (AmazonEBS). Comme il peut y avoir des données sensibles au repos dans ces volumes, activez le chiffrement au repos pour protéger ces données.
10,18 Une institution financière doit faire preuve de diligence raisonnable et évaluer les contrôles cryptographiques associés à la technologie utilisée afin de protéger la confidentialité, l'intégrité, l'authentification, l'autorisation et la non-répudiation des informations. Lorsqu'une institution financière ne génère pas ses propres clés de chiffrement, elle doit prendre les mesures appropriées pour garantir la mise en place de contrôles et de processus robustes pour gérer les clés de chiffrement. Lorsque cela implique de s'appuyer sur des évaluations effectuées par des tiers, l'institution financière doit déterminer si cette confiance est compatible avec son appétit pour le risque et sa tolérance au risque. Une institution financière doit également tenir dûment compte des ressources système requises pour la prise en charge des contrôles cryptographiques et du risque de réduction de la visibilité du trafic réseau des données chiffrées.

efs-encrypted-check

 Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour votre Amazon Elastic File System (EFS).
10,18 Une institution financière doit faire preuve de diligence raisonnable et évaluer les contrôles cryptographiques associés à la technologie utilisée afin de protéger la confidentialité, l'intégrité, l'authentification, l'autorisation et la non-répudiation des informations. Lorsqu'une institution financière ne génère pas ses propres clés de chiffrement, elle doit prendre les mesures appropriées pour garantir la mise en place de contrôles et de processus robustes pour gérer les clés de chiffrement. Lorsque cela implique de s'appuyer sur des évaluations effectuées par des tiers, l'institution financière doit déterminer si cette confiance est compatible avec son appétit pour le risque et sa tolérance au risque. Une institution financière doit également tenir dûment compte des ressources système requises pour la prise en charge des contrôles cryptographiques et du risque de réduction de la visibilité du trafic réseau des données chiffrées.

elbv2- acm-certificate-required

 Comme il peut y avoir des données sensibles et pour protéger les données en transit, assurez-vous que le chiffrement est activé pour votre Elastic Load Balancing. Utilisez AWS Certificate Manager pour gérer, approvisionner et déployer des TLS certificats publics et SSL privés avec des AWS services et des ressources internes.
10,18 Une institution financière doit faire preuve de diligence raisonnable et évaluer les contrôles cryptographiques associés à la technologie utilisée afin de protéger la confidentialité, l'intégrité, l'authentification, l'autorisation et la non-répudiation des informations. Lorsqu'une institution financière ne génère pas ses propres clés de chiffrement, elle doit prendre les mesures appropriées pour garantir la mise en place de contrôles et de processus robustes pour gérer les clés de chiffrement. Lorsque cela implique de s'appuyer sur des évaluations effectuées par des tiers, l'institution financière doit déterminer si cette confiance est compatible avec son appétit pour le risque et sa tolérance au risque. Une institution financière doit également tenir dûment compte des ressources système requises pour la prise en charge des contrôles cryptographiques et du risque de réduction de la visibilité du trafic réseau des données chiffrées.

encrypted-volumes

 Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (AmazonEBS).
10,18 Une institution financière doit faire preuve de diligence raisonnable et évaluer les contrôles cryptographiques associés à la technologie utilisée afin de protéger la confidentialité, l'intégrité, l'authentification, l'autorisation et la non-répudiation des informations. Lorsqu'une institution financière ne génère pas ses propres clés de chiffrement, elle doit prendre les mesures appropriées pour garantir la mise en place de contrôles et de processus robustes pour gérer les clés de chiffrement. Lorsque cela implique de s'appuyer sur des évaluations effectuées par des tiers, l'institution financière doit déterminer si cette confiance est compatible avec son appétit pour le risque et sa tolérance au risque. Une institution financière doit également tenir dûment compte des ressources système requises pour la prise en charge des contrôles cryptographiques et du risque de réduction de la visibilité du trafic réseau des données chiffrées.

kms-cmk-not-scheduled-pour suppression

 Pour protéger les données inactives, assurez-vous qu'il n'est pas prévu de supprimer les clés principales du client (CMKs) nécessaires dans le service de gestion des AWS clés (AWS KMS). La suppression de clés étant parfois nécessaire, cette règle peut aider à vérifier toutes les clés dont la suppression est prévue, au cas où la suppression d'une clé aurait été planifiée par inadvertance.
10,18 Une institution financière doit faire preuve de diligence raisonnable et évaluer les contrôles cryptographiques associés à la technologie utilisée afin de protéger la confidentialité, l'intégrité, l'authentification, l'autorisation et la non-répudiation des informations. Lorsqu'une institution financière ne génère pas ses propres clés de chiffrement, elle doit prendre les mesures appropriées pour garantir la mise en place de contrôles et de processus robustes pour gérer les clés de chiffrement. Lorsque cela implique de s'appuyer sur des évaluations effectuées par des tiers, l'institution financière doit déterminer si cette confiance est compatible avec son appétit pour le risque et sa tolérance au risque. Une institution financière doit également tenir dûment compte des ressources système requises pour la prise en charge des contrôles cryptographiques et du risque de réduction de la visibilité du trafic réseau des données chiffrées.

opensearch-encrypted-at-rest

 Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos domaines Amazon OpenSearch Service.
10,18 Une institution financière doit faire preuve de diligence raisonnable et évaluer les contrôles cryptographiques associés à la technologie utilisée afin de protéger la confidentialité, l'intégrité, l'authentification, l'autorisation et la non-répudiation des informations. Lorsqu'une institution financière ne génère pas ses propres clés de chiffrement, elle doit prendre les mesures appropriées pour garantir la mise en place de contrôles et de processus robustes pour gérer les clés de chiffrement. Lorsque cela implique de s'appuyer sur des évaluations effectuées par des tiers, l'institution financière doit déterminer si cette confiance est compatible avec son appétit pour le risque et sa tolérance au risque. Une institution financière doit également tenir dûment compte des ressources système requises pour la prise en charge des contrôles cryptographiques et du risque de réduction de la visibilité du trafic réseau des données chiffrées.

opensearch-https-required

 Étant donné que des données sensibles peuvent exister et pour protéger les données en transit, assurez-vous HTTPS que les connexions à vos domaines Amazon OpenSearch Service sont activées.
10,18 Une institution financière doit faire preuve de diligence raisonnable et évaluer les contrôles cryptographiques associés à la technologie utilisée afin de protéger la confidentialité, l'intégrité, l'authentification, l'autorisation et la non-répudiation des informations. Lorsqu'une institution financière ne génère pas ses propres clés de chiffrement, elle doit prendre les mesures appropriées pour garantir la mise en place de contrôles et de processus robustes pour gérer les clés de chiffrement. Lorsque cela implique de s'appuyer sur des évaluations effectuées par des tiers, l'institution financière doit déterminer si cette confiance est compatible avec son appétit pour le risque et sa tolérance au risque. Une institution financière doit également tenir dûment compte des ressources système requises pour la prise en charge des contrôles cryptographiques et du risque de réduction de la visibilité du trafic réseau des données chiffrées.

opensearch-node-to-node-vérification du chiffrement

 Assurez-vous que node-to-node le chiffrement pour Amazon OpenSearch Service est activé. Node-to-nodele chiffrement permet le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (AmazonVPC). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
10,18 Une institution financière doit faire preuve de diligence raisonnable et évaluer les contrôles cryptographiques associés à la technologie utilisée afin de protéger la confidentialité, l'intégrité, l'authentification, l'autorisation et la non-répudiation des informations. Lorsqu'une institution financière ne génère pas ses propres clés de chiffrement, elle doit prendre les mesures appropriées pour garantir la mise en place de contrôles et de processus robustes pour gérer les clés de chiffrement. Lorsque cela implique de s'appuyer sur des évaluations effectuées par des tiers, l'institution financière doit déterminer si cette confiance est compatible avec son appétit pour le risque et sa tolérance au risque. Une institution financière doit également tenir dûment compte des ressources système requises pour la prise en charge des contrôles cryptographiques et du risque de réduction de la visibilité du trafic réseau des données chiffrées.

rds-snapshot-encrypted

 Assurez-vous que le chiffrement est activé pour vos instantanés Amazon Relational Database Service (RDSAmazon). Comme il peut y avoir des données sensibles au repos, activez le chiffrement au repos pour protéger ces données.
10,18 Une institution financière doit faire preuve de diligence raisonnable et évaluer les contrôles cryptographiques associés à la technologie utilisée afin de protéger la confidentialité, l'intégrité, l'authentification, l'autorisation et la non-répudiation des informations. Lorsqu'une institution financière ne génère pas ses propres clés de chiffrement, elle doit prendre les mesures appropriées pour garantir la mise en place de contrôles et de processus robustes pour gérer les clés de chiffrement. Lorsque cela implique de s'appuyer sur des évaluations effectuées par des tiers, l'institution financière doit déterminer si cette confiance est compatible avec son appétit pour le risque et sa tolérance au risque. Une institution financière doit également tenir dûment compte des ressources système requises pour la prise en charge des contrôles cryptographiques et du risque de réduction de la visibilité du trafic réseau des données chiffrées.

rds-storage-encrypted

 Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos instances Amazon Relational Database Service (RDSAmazon). Étant donné que des données sensibles peuvent exister au repos dans RDS les instances Amazon, activez le chiffrement au repos pour protéger ces données.
10,18 Une institution financière doit faire preuve de diligence raisonnable et évaluer les contrôles cryptographiques associés à la technologie utilisée afin de protéger la confidentialité, l'intégrité, l'authentification, l'autorisation et la non-répudiation des informations. Lorsqu'une institution financière ne génère pas ses propres clés de chiffrement, elle doit prendre les mesures appropriées pour garantir la mise en place de contrôles et de processus robustes pour gérer les clés de chiffrement. Lorsque cela implique de s'appuyer sur des évaluations effectuées par des tiers, l'institution financière doit déterminer si cette confiance est compatible avec son appétit pour le risque et sa tolérance au risque. Une institution financière doit également tenir dûment compte des ressources système requises pour la prise en charge des contrôles cryptographiques et du risque de réduction de la visibilité du trafic réseau des données chiffrées.

redshift-cluster-configuration-check

 Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default :TRUE) et loggingEnabled (Config Default :TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation.
10,18 Une institution financière doit faire preuve de diligence raisonnable et évaluer les contrôles cryptographiques associés à la technologie utilisée afin de protéger la confidentialité, l'intégrité, l'authentification, l'autorisation et la non-répudiation des informations. Lorsqu'une institution financière ne génère pas ses propres clés de chiffrement, elle doit prendre les mesures appropriées pour garantir la mise en place de contrôles et de processus robustes pour gérer les clés de chiffrement. Lorsque cela implique de s'appuyer sur des évaluations effectuées par des tiers, l'institution financière doit déterminer si cette confiance est compatible avec son appétit pour le risque et sa tolérance au risque. Une institution financière doit également tenir dûment compte des ressources système requises pour la prise en charge des contrôles cryptographiques et du risque de réduction de la visibilité du trafic réseau des données chiffrées.

redshift-cluster-kms-enabled

 Pour protéger les données au repos, assurez-vous que le chiffrement avec AWS Key Management Service (AWS KMS) est activé pour votre cluster Amazon Redshift. Comme il peut y avoir des données sensibles au repos dans les clusters Redshift, activez le chiffrement au repos pour protéger ces données.
10,18 Une institution financière doit faire preuve de diligence raisonnable et évaluer les contrôles cryptographiques associés à la technologie utilisée afin de protéger la confidentialité, l'intégrité, l'authentification, l'autorisation et la non-répudiation des informations. Lorsqu'une institution financière ne génère pas ses propres clés de chiffrement, elle doit prendre les mesures appropriées pour garantir la mise en place de contrôles et de processus robustes pour gérer les clés de chiffrement. Lorsque cela implique de s'appuyer sur des évaluations effectuées par des tiers, l'institution financière doit déterminer si cette confiance est compatible avec son appétit pour le risque et sa tolérance au risque. Une institution financière doit également tenir dûment compte des ressources système requises pour la prise en charge des contrôles cryptographiques et du risque de réduction de la visibilité du trafic réseau des données chiffrées.

redshift-require-tls-ssl

 Assurez-vous que vos clusters Amazon Redshift nécessitent un SSL chiffrement TLS pour se connecter aux SQL clients. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
10,18 Une institution financière doit faire preuve de diligence raisonnable et évaluer les contrôles cryptographiques associés à la technologie utilisée afin de protéger la confidentialité, l'intégrité, l'authentification, l'autorisation et la non-répudiation des informations. Lorsqu'une institution financière ne génère pas ses propres clés de chiffrement, elle doit prendre les mesures appropriées pour garantir la mise en place de contrôles et de processus robustes pour gérer les clés de chiffrement. Lorsque cela implique de s'appuyer sur des évaluations effectuées par des tiers, l'institution financière doit déterminer si cette confiance est compatible avec son appétit pour le risque et sa tolérance au risque. Une institution financière doit également tenir dûment compte des ressources système requises pour la prise en charge des contrôles cryptographiques et du risque de réduction de la visibilité du trafic réseau des données chiffrées.

compatible avec bucket-server-side-encryption s3

 Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans les compartiments Amazon S3, activez le chiffrement pour protéger ces données.
10,18 Une institution financière doit faire preuve de diligence raisonnable et évaluer les contrôles cryptographiques associés à la technologie utilisée afin de protéger la confidentialité, l'intégrité, l'authentification, l'autorisation et la non-répudiation des informations. Lorsqu'une institution financière ne génère pas ses propres clés de chiffrement, elle doit prendre les mesures appropriées pour garantir la mise en place de contrôles et de processus robustes pour gérer les clés de chiffrement. Lorsque cela implique de s'appuyer sur des évaluations effectuées par des tiers, l'institution financière doit déterminer si cette confiance est compatible avec son appétit pour le risque et sa tolérance au risque. Une institution financière doit également tenir dûment compte des ressources système requises pour la prise en charge des contrôles cryptographiques et du risque de réduction de la visibilité du trafic réseau des données chiffrées.

s3- bucket-ssl-requests-only

 Pour protéger les données en transit, assurez-vous que vos compartiments Amazon Simple Storage Service (Amazon S3) nécessitent des demandes d'utilisation du protocole Secure Socket Layer (). SSL Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
10,18 Une institution financière doit faire preuve de diligence raisonnable et évaluer les contrôles cryptographiques associés à la technologie utilisée afin de protéger la confidentialité, l'intégrité, l'authentification, l'autorisation et la non-répudiation des informations. Lorsqu'une institution financière ne génère pas ses propres clés de chiffrement, elle doit prendre les mesures appropriées pour garantir la mise en place de contrôles et de processus robustes pour gérer les clés de chiffrement. Lorsque cela implique de s'appuyer sur des évaluations effectuées par des tiers, l'institution financière doit déterminer si cette confiance est compatible avec son appétit pour le risque et sa tolérance au risque. Une institution financière doit également tenir dûment compte des ressources système requises pour la prise en charge des contrôles cryptographiques et du risque de réduction de la visibilité du trafic réseau des données chiffrées.

s3- default-encryption-kms

 Assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans un compartiment Amazon S3, activez le chiffrement au repos pour protéger ces données.
10,18 Une institution financière doit faire preuve de diligence raisonnable et évaluer les contrôles cryptographiques associés à la technologie utilisée afin de protéger la confidentialité, l'intégrité, l'authentification, l'autorisation et la non-répudiation des informations. Lorsqu'une institution financière ne génère pas ses propres clés de chiffrement, elle doit prendre les mesures appropriées pour garantir la mise en place de contrôles et de processus robustes pour gérer les clés de chiffrement. Lorsque cela implique de s'appuyer sur des évaluations effectuées par des tiers, l'institution financière doit déterminer si cette confiance est compatible avec son appétit pour le risque et sa tolérance au risque. Une institution financière doit également tenir dûment compte des ressources système requises pour la prise en charge des contrôles cryptographiques et du risque de réduction de la visibilité du trafic réseau des données chiffrées.

sagemaker-endpoint-configuration-kms-configuré par clé

 Pour protéger les données au repos, assurez-vous que le chiffrement avec AWS Key Management Service (AWS KMS) est activé pour votre SageMaker terminal. Étant donné que les données sensibles peuvent exister au repos sur le SageMaker terminal, activez le chiffrement au repos pour protéger ces données.
10,18 Une institution financière doit faire preuve de diligence raisonnable et évaluer les contrôles cryptographiques associés à la technologie utilisée afin de protéger la confidentialité, l'intégrité, l'authentification, l'autorisation et la non-répudiation des informations. Lorsqu'une institution financière ne génère pas ses propres clés de chiffrement, elle doit prendre les mesures appropriées pour garantir la mise en place de contrôles et de processus robustes pour gérer les clés de chiffrement. Lorsque cela implique de s'appuyer sur des évaluations effectuées par des tiers, l'institution financière doit déterminer si cette confiance est compatible avec son appétit pour le risque et sa tolérance au risque. Une institution financière doit également tenir dûment compte des ressources système requises pour la prise en charge des contrôles cryptographiques et du risque de réduction de la visibilité du trafic réseau des données chiffrées.

sagemaker-notebook-instance-kms-configuré par clé

 Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWS KMS) est activé pour votre SageMaker ordinateur portable. Étant donné que des données sensibles peuvent exister au repos dans le SageMaker bloc-notes, activez le chiffrement au repos pour protéger ces données.
10,18 Une institution financière doit faire preuve de diligence raisonnable et évaluer les contrôles cryptographiques associés à la technologie utilisée afin de protéger la confidentialité, l'intégrité, l'authentification, l'autorisation et la non-répudiation des informations. Lorsqu'une institution financière ne génère pas ses propres clés de chiffrement, elle doit prendre les mesures appropriées pour garantir la mise en place de contrôles et de processus robustes pour gérer les clés de chiffrement. Lorsque cela implique de s'appuyer sur des évaluations effectuées par des tiers, l'institution financière doit déterminer si cette confiance est compatible avec son appétit pour le risque et sa tolérance au risque. Une institution financière doit également tenir dûment compte des ressources système requises pour la prise en charge des contrôles cryptographiques et du risque de réduction de la visibilité du trafic réseau des données chiffrées.

secretsmanager-using-cmk

 Pour protéger les données au repos, assurez-vous que le chiffrement avec AWS Key Management Service (AWS KMS) est activé pour les AWS secrets de Secrets Manager. Comme il peut y avoir des données sensibles au repos dans les secrets de Secrets Manager, activez le chiffrement au repos pour protéger ces données.
10,18 Une institution financière doit faire preuve de diligence raisonnable et évaluer les contrôles cryptographiques associés à la technologie utilisée afin de protéger la confidentialité, l'intégrité, l'authentification, l'autorisation et la non-répudiation des informations. Lorsqu'une institution financière ne génère pas ses propres clés de chiffrement, elle doit prendre les mesures appropriées pour garantir la mise en place de contrôles et de processus robustes pour gérer les clés de chiffrement. Lorsque cela implique de s'appuyer sur des évaluations effectuées par des tiers, l'institution financière doit déterminer si cette confiance est compatible avec son appétit pour le risque et sa tolérance au risque. Une institution financière doit également tenir dûment compte des ressources système requises pour la prise en charge des contrôles cryptographiques et du risque de réduction de la visibilité du trafic réseau des données chiffrées.

sns-encrypted-kms

 Pour protéger les données au repos, assurez-vous que vos rubriques Amazon Simple Notification Service (AmazonSNS) nécessitent un chiffrement à l'aide du AWS Key Management Service (AWS KMS). Comme il peut y avoir des données sensibles au repos dans les messages publiés, activez le chiffrement au repos pour protéger ces données.
10,20 Une institution financière doit stocker les clés cryptographiques publiques dans un certificat délivré par une autorité de certification, en fonction du niveau de risque. Ces certificats associés aux clients doivent être délivrés par des autorités de certification reconnues. L'institution financière doit veiller à ce que la mise en œuvre de protocoles d'authentification et de signature utilisant de tels certificats fasse l'objet d'une protection solide afin de garantir que l'utilisation de clés cryptographiques privées correspondant aux certificats utilisateur soit juridiquement contraignante et irréfutable. L'émission initiale et le renouvellement ultérieur de tels certificats doivent être conformes aux bonnes pratiques du secteur et aux spécifications légales/réglementaires applicables.

acm-certificate-expiration-check

 Assurez-vous que l'intégrité du réseau est protégée en vous assurant que les certificats X509 sont émis par AWS ACM. Ces certificats doivent être valides et non expirés. Cette règle nécessite une valeur pour daysToExpiration (valeur des meilleures pratiques de sécuritéAWS fondamentales : 90). La valeur réelle doit refléter les politiques de votre organisation.
10,20 Une institution financière doit stocker les clés cryptographiques publiques dans un certificat délivré par une autorité de certification, en fonction du niveau de risque. Ces certificats associés aux clients doivent être délivrés par des autorités de certification reconnues. L'institution financière doit veiller à ce que la mise en œuvre de protocoles d'authentification et de signature utilisant de tels certificats fasse l'objet d'une protection solide afin de garantir que l'utilisation de clés cryptographiques privées correspondant aux certificats utilisateur soit juridiquement contraignante et irréfutable. L'émission initiale et le renouvellement ultérieur de tels certificats doivent être conformes aux bonnes pratiques du secteur et aux spécifications légales/réglementaires applicables.

elbv2- acm-certificate-required

 Comme il peut y avoir des données sensibles et pour protéger les données en transit, assurez-vous que le chiffrement est activé pour votre Elastic Load Balancing. Utilisez AWS Certificate Manager pour gérer, approvisionner et déployer des TLS certificats publics et SSL privés avec des AWS services et des ressources internes.
10,27 Une institution financière doit établir des mécanismes de surveillance en temps réel pour suivre l'utilisation des capacités et les performances des processus, ainsi que des services clés. Ces mécanismes de surveillance doivent être capables de fournir des alertes rapides et exploitables aux administrateurs.

autoscaling-group-elb-healthcheck-obligatoire

 Les bilans de santé d'Elastic Load Balancer (ELB) pour les groupes Amazon Elastic Compute Cloud (AmazonEC2) Auto Scaling permettent de maintenir une capacité et une disponibilité adéquates. L'équilibreur de charge envoie régulièrement des pings, tente de se connecter ou envoie des demandes pour tester l'état des EC2 instances Amazon dans un groupe d'auto-scaling. Si une instance ne produit pas de rapport, le trafic est envoyé vers une nouvelle EC2 instance Amazon.
10,27 Une institution financière doit établir des mécanismes de surveillance en temps réel pour suivre l'utilisation des capacités et les performances des processus, ainsi que des services clés. Ces mécanismes de surveillance doivent être capables de fournir des alertes rapides et exploitables aux administrateurs.

beanstalk-enhanced-health-reporting-activé

 AWS Les rapports de santé améliorés d'Elastic Beanstalk permettent de réagir plus rapidement aux modifications de l'état de santé de l'infrastructure sous-jacente. Ces modifications peuvent entraîner un manque de disponibilité de l'application. Les rapports d'état améliorés Elastic Beanstalk fournissent un descripteur d'état permettant d'évaluer la gravité des problèmes identifiés et d'identifier les causes possibles à étudier.
10,27 Une institution financière doit établir des mécanismes de surveillance en temps réel pour suivre l'utilisation des capacités et les performances des processus, ainsi que des services clés. Ces mécanismes de surveillance doivent être capables de fournir des alertes rapides et exploitables aux administrateurs.

cloudwatch-alarm-action-check

 Amazon CloudWatch émet une alerte lorsqu'un indicateur dépasse le seuil pour un certain nombre de périodes d'évaluation. L’alarme réalise une ou plusieurs actions en fonction de la valeur de la métrique ou de l’expression par rapport à un seuil sur un certain nombre de périodes. Cette règle nécessite une valeur pour alarmActionRequired (Config Default : True), insufficientDataAction Required (Config Default : True), okActionRequired (Config Default : False). La valeur réelle doit refléter les actions d'alarme de votre environnement.
10,27 Une institution financière doit établir des mécanismes de surveillance en temps réel pour suivre l'utilisation des capacités et les performances des processus, ainsi que des services clés. Ces mécanismes de surveillance doivent être capables de fournir des alertes rapides et exploitables aux administrateurs.

cloud-trail-cloud-watch-activé pour les journaux

 Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des détails sur l'activité des API appels au sein de votre Compte AWS.
10,27 Une institution financière doit établir des mécanismes de surveillance en temps réel pour suivre l'utilisation des capacités et les performances des processus, ainsi que des services clés. Ces mécanismes de surveillance doivent être capables de fournir des alertes rapides et exploitables aux administrateurs.

dynamodb-throughput-limit-check

 Activez cette règle pour vous assurer que la capacité de débit allouée est vérifiée sur vos tables Amazon DynamoDB. Il s'agit du volume d'activité de lecture/d'écriture que chaque table peut prendre en charge. DynamoDB utilise ces informations pour réserver des ressources système suffisantes pour répondre à vos exigences de débit. Cette règle génère une alerte lorsque le débit approche de la limite maximale pour le compte d'un client. Cette règle vous permet de définir éventuellement les paramètres accountRCUThreshold Pourcentage (Config Default : 80) et accountWCUThreshold Pourcentage (Config Default : 80). Les valeurs réelles doivent refléter les politiques de votre organisation.
10,27 Une institution financière doit établir des mécanismes de surveillance en temps réel pour suivre l'utilisation des capacités et les performances des processus, ainsi que des services clés. Ces mécanismes de surveillance doivent être capables de fournir des alertes rapides et exploitables aux administrateurs.

ec2- instance-detailed-monitoring-enabled

 Activez cette règle pour améliorer la surveillance des instances Amazon Elastic Compute Cloud (AmazonEC2) sur la EC2 console Amazon, qui affiche des graphiques de surveillance avec une période d'une minute pour l'instance.
10,27 Une institution financière doit établir des mécanismes de surveillance en temps réel pour suivre l'utilisation des capacités et les performances des processus, ainsi que des services clés. Ces mécanismes de surveillance doivent être capables de fournir des alertes rapides et exploitables aux administrateurs.

lambda-concurrency-check

 Cette règle assure que les limites de simultanéité élevées et basses d'une fonction Lambda ont été définies. Elle permet de référencer le nombre de demandes auxquelles votre fonction répond à un moment donné.
10,27 Une institution financière doit établir des mécanismes de surveillance en temps réel pour suivre l'utilisation des capacités et les performances des processus, ainsi que des services clés. Ces mécanismes de surveillance doivent être capables de fournir des alertes rapides et exploitables aux administrateurs.

opensearch-logs-to-cloudwatch

 Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. OpenSearch Les journaux des erreurs de service peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité.
10,27 Une institution financière doit établir des mécanismes de surveillance en temps réel pour suivre l'utilisation des capacités et les performances des processus, ainsi que des services clés. Ces mécanismes de surveillance doivent être capables de fournir des alertes rapides et exploitables aux administrateurs.

rds-enhanced-monitoring-enabled

 Activez Amazon Relational Database Service (RDSAmazon) pour surveiller la disponibilité d'RDSAmazon. Cela fournit une visibilité détaillée sur l'état de vos instances de RDS base de données Amazon. Lorsque le RDS stockage Amazon utilise plusieurs appareils physiques sous-jacents, Enhanced Monitoring collecte les données pour chaque appareil. En outre, lorsque l'instance RDS de base de données Amazon est exécutée dans le cadre d'un déploiement multi-AZ, les données de chaque appareil sur l'hôte secondaire sont collectées, ainsi que les métriques de l'hôte secondaire.
10,34 Une institution financière doit s'assurer que les services réseau de ses systèmes critiques sont fiables et non fiables SPOF afin de protéger les systèmes critiques contre les défaillances potentielles du réseau et les cybermenaces.

elb-deletion-protection-enabled

 Cette règle garantit que la protection contre la suppression est activée pour Elastic Load Balancing. Utilisez cette fonctionnalité pour empêcher la suppression accidentelle ou malveillante de votre équilibreur de charge, ce qui pourrait entraîner une perte de disponibilité pour vos applications.
10,34 Une institution financière doit s'assurer que les services réseau de ses systèmes critiques sont fiables et non fiables SPOF afin de protéger les systèmes critiques contre les défaillances potentielles du réseau et les cybermenaces.

vpc-vpn-2-tunnels-up

 Site-to-SiteVPNDes tunnels redondants peuvent être mis en œuvre pour répondre aux exigences de résilience. Il utilise deux tunnels pour garantir la connectivité au cas où l'une des Site-to-Site VPN connexions deviendrait indisponible. Pour éviter toute perte de connectivité, au cas où votre passerelle client deviendrait indisponible, vous pouvez configurer une deuxième Site-to-Site VPN connexion à votre Amazon Virtual Private Cloud (AmazonVPC) et à votre passerelle privée virtuelle en utilisant une deuxième passerelle client.
10,35 Une institution financière doit établir des processus de surveillance de la bande passante du réseau en temps réel et des métriques de résilience du service réseau correspondantes pour signaler toute utilisation excessive de la bande passante et toute interruption du système résultant d'une surcharge de la bande passante ou de défaillances du réseau. Ces processus incluent l'analyse du trafic en vue de détecter les tendances et les anomalies.

api-gw-xray-enabled

 AWS X-Ray collecte des données sur les demandes traitées par votre application et fournit des outils que vous pouvez utiliser pour visualiser, filtrer et obtenir des informations sur ces données afin d'identifier les problèmes et les opportunités d'optimisation. Assurez-vous que X-Ray est activé afin que vous puissiez consulter des informations détaillées non seulement sur la demande et la réponse, mais également sur les appels que votre application fait aux AWS ressources en aval, aux microservices, aux bases de données et au HTTP WebAPIs.
10,35 Une institution financière doit établir des processus de surveillance de la bande passante du réseau en temps réel et des métriques de résilience du service réseau correspondantes pour signaler toute utilisation excessive de la bande passante et toute interruption du système résultant d'une surcharge de la bande passante ou de défaillances du réseau. Ces processus incluent l'analyse du trafic en vue de détecter les tendances et les anomalies.

cloudwatch-alarm-action-check

 Amazon CloudWatch émet une alerte lorsqu'un indicateur dépasse le seuil pour un certain nombre de périodes d'évaluation. L’alarme réalise une ou plusieurs actions en fonction de la valeur de la métrique ou de l’expression par rapport à un seuil sur un certain nombre de périodes. Cette règle nécessite une valeur pour alarmActionRequired (Config Default : True), insufficientDataAction Required (Config Default : True), okActionRequired (Config Default : False). La valeur réelle doit refléter les actions d'alarme de votre environnement.
10,35 Une institution financière doit établir des processus de surveillance de la bande passante du réseau en temps réel et des métriques de résilience du service réseau correspondantes pour signaler toute utilisation excessive de la bande passante et toute interruption du système résultant d'une surcharge de la bande passante ou de défaillances du réseau. Ces processus incluent l'analyse du trafic en vue de détecter les tendances et les anomalies.

elb-logging-enabled

 L'activité Elastic Load Balancing est un point de communication central au sein d'un environnement. Assurez-vous que la ELB journalisation est activée. Les données collectées fournissent des informations détaillées sur les demandes envoyées auELB. Chaque journal contient des informations comme l'heure à laquelle la demande a été reçue, l'adresse IP du client, les latences, les chemins de demande et les réponses du serveur.
10,35 Une institution financière doit établir des processus de surveillance de la bande passante du réseau en temps réel et des métriques de résilience du service réseau correspondantes pour signaler toute utilisation excessive de la bande passante et toute interruption du système résultant d'une surcharge de la bande passante ou de défaillances du réseau. Ces processus incluent l'analyse du trafic en vue de détecter les tendances et les anomalies.

vpc-flow-logs-enabled

 Les journaux de VPC flux fournissent des enregistrements détaillés contenant des informations sur le trafic IP à destination et en provenance des interfaces réseau de votre Amazon Virtual Private Cloud (AmazonVPC). Par défaut, le journal de flux inclut des valeurs pour les différents composants du flux IP, y compris la source, la destination et le protocole.
10,36 Une institution financière doit veiller à ce que les services réseau prenant en charge les systèmes critiques sont conçus et mis en œuvre de manière à garantir la confidentialité, l'intégrité et la disponibilité des données.

alb-http-to-https-vérification de redirection

 Pour protéger les données en transit, assurez-vous que votre Application Load Balancer redirige automatiquement les demandes non HTTP chiffrées vers. HTTPS Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
10,36 Une institution financière doit veiller à ce que les services réseau prenant en charge les systèmes critiques sont conçus et mis en œuvre de manière à garantir la confidentialité, l'intégrité et la disponibilité des données.

api-gw-ssl-enabled

 Assurez-vous que REST API les étapes Amazon API Gateway sont configurées avec SSL des certificats afin de permettre aux systèmes principaux d'authentifier que les demandes proviennent de API Gateway.
10,36 Une institution financière doit veiller à ce que les services réseau prenant en charge les systèmes critiques sont conçus et mis en œuvre de manière à garantir la confidentialité, l'intégrité et la disponibilité des données.

elbv2- acm-certificate-required

 Comme il peut y avoir des données sensibles et pour protéger les données en transit, assurez-vous que le chiffrement est activé pour votre Elastic Load Balancing. Utilisez AWS Certificate Manager pour gérer, approvisionner et déployer des TLS certificats publics et SSL privés avec des AWS services et des ressources internes.
10,36 Une institution financière doit veiller à ce que les services réseau prenant en charge les systèmes critiques sont conçus et mis en œuvre de manière à garantir la confidentialité, l'intégrité et la disponibilité des données.

elb-deletion-protection-enabled

 Cette règle garantit que la protection contre la suppression est activée pour Elastic Load Balancing. Utilisez cette fonctionnalité pour empêcher la suppression accidentelle ou malveillante de votre équilibreur de charge, ce qui pourrait entraîner une perte de disponibilité pour vos applications.
10,36 Une institution financière doit veiller à ce que les services réseau prenant en charge les systèmes critiques sont conçus et mis en œuvre de manière à garantir la confidentialité, l'intégrité et la disponibilité des données.

nlb-cross-zone-load-activé pour l'équilibrage

 Activez l'équilibrage de charge entre zones pour vos équilibreurs de charge réseau (NLBs) afin de maintenir une capacité et une disponibilité adéquates. L'équilibrage de charge entre zones réduit la nécessité de maintenir un nombre équivalent d'instances dans chaque zone de disponibilité activée. Cela améliore également la capacité de votre application à gérer la perte d'une ou de plusieurs instances.
10,38 Une institution financière doit veiller à ce que des journaux de périphériques réseau suffisants et pertinents soient conservés pendant au moins trois ans à des fins d'enquêtes et d'analyse scientifique.

cw-loggroup-retention-period-vérifier

 Assurez-vous que la durée minimale de conservation des données des journaux d'événements pour vos groupes de journaux est suffisante pour faciliter le dépannage et les enquêtes judiciaires. Le manque de données disponibles dans les journaux d'événements passés complique la reconstitution et l'identification des événements potentiellement malveillants.
10,51 Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes.

access-keys-rotated

 Les informations d'identification sont auditées pour les appareils, les utilisateurs et les processus autorisés en veillant IAM à ce que les clés d'accès soient alternées conformément à la politique de l'organisation. La modification régulière des clés d'accès est une bonne pratique de sécurité. Cela permet de raccourcir la période pendant laquelle une clé d'accès est active et de réduire l'impact commercial en cas de compromission des clés. Cette règle nécessite une valeur de rotation des clés d'accès (configuration par défaut : 90). La valeur réelle doit refléter les politiques de votre organisation.
10,51 Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes.

account-part-of-organizations

 La gestion centralisée Comptes AWS au sein des AWS Organisations permet de garantir la conformité des comptes. L'absence de gouvernance centralisée des comptes peut entraîner des configurations de comptes incohérentes, ce qui peut exposer des ressources et des données sensibles.
10,51 Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes.

alb-http-to-https-vérification de redirection

 Pour protéger les données en transit, assurez-vous que votre Application Load Balancer redirige automatiquement les demandes non HTTP chiffrées vers. HTTPS Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
10,51 Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes.

api-gw-cache-enabledet crypté

 Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour le cache de votre stage API Gateway. Étant donné que des données sensibles peuvent être capturées pour API cette méthode, activez le chiffrement au repos pour protéger ces données.
10,51 Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes.

api-gw-ssl-enabled

 Assurez-vous que REST API les étapes Amazon API Gateway sont configurées avec SSL des certificats afin de permettre aux systèmes principaux d'authentifier que les demandes proviennent de API Gateway.
10,51 Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes.

autoscaling-launch-config-public-IP désactivé

 Si vous configurez vos interfaces réseau avec une adresse IP publique, les ressources associées à ces interfaces réseau sont accessibles depuis Internet. EC2les ressources ne doivent pas être accessibles au public, car cela peut permettre un accès involontaire à vos applications ou à vos serveurs.
10,51 Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes.

backup-recovery-point-encrypted

 Assurez-vous que le chiffrement est activé pour vos points AWS de restauration Backup. Comme il peut y avoir des données sensibles au repos, activez le chiffrement au repos pour protéger ces données.
10,51 Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes.

cloudtrail-security-trail-enabled

 Cette règle permet de garantir l'utilisation des meilleures pratiques de sécurité AWS recommandées pour AWS CloudTrail, en vérifiant l'activation de plusieurs paramètres. Il s'agit notamment de l'utilisation du chiffrement des journaux, de la validation des journaux et de AWS CloudTrail l'activation dans plusieurs régions.
10,51 Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes.

cloudwatch-log-group-encrypted

 Pour protéger les données sensibles au repos, assurez-vous que le chiffrement est activé pour vos Amazon CloudWatch Log Groups.
10,51 Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes.

cmk-backing-key-rotation-activé

 Activez la rotation des clés pour vous assurer que les clés sont pivotées une fois qu'elles ont atteint la fin de leur période de chiffrement.
10,51 Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes.

dms-replication-not-public

 Gérez l'accès au AWS cloud en vous assurant que les instances de DMS réplication ne sont pas accessibles au public. DMSles instances de réplication peuvent contenir des informations sensibles et un contrôle d'accès est requis pour ces comptes.
10,51 Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes.

dynamodb-table-encrypted-kms

 Assurez-vous que le chiffrement est activé pour vos tables Amazon DynamoDB. Comme il peut y avoir des données sensibles au repos dans ces tables, activez le chiffrement au repos pour protéger ces données. Par défaut, les tables DynamoDB sont chiffrées à l'aide AWS d'une clé principale propre au client (). CMK
10,51 Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes.

ebs-snapshot-public-restorable-vérifier

 Gérez l'accès au AWS cloud en vous assurant que les EBS instantanés ne sont pas restaurables publiquement. EBSles instantanés de volume peuvent contenir des informations sensibles et un contrôle d'accès est requis pour ces comptes.
10,51 Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes.

ec2- ebs-encryption-by-default

 Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (AmazonEBS). Comme il peut y avoir des données sensibles au repos dans ces volumes, activez le chiffrement au repos pour protéger ces données.
10,51 Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes.

ec2- instance-no-public-ip

 Gérez l'accès au AWS cloud en vous assurant que les instances Amazon Elastic Compute Cloud (AmazonEC2) ne sont pas accessibles au public. Les EC2 instances Amazon peuvent contenir des informations sensibles et un contrôle d'accès est requis pour ces comptes.
10,51 Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes.

efs-encrypted-check

 Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour votre Amazon Elastic File System (EFS).
10,51 Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes.

elbv2- acm-certificate-required

 Comme il peut y avoir des données sensibles et pour protéger les données en transit, assurez-vous que le chiffrement est activé pour votre Elastic Load Balancing. Utilisez AWS Certificate Manager pour gérer, approvisionner et déployer des TLS certificats publics et SSL privés avec des AWS services et des ressources internes.
10,51 Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes.

emr-kerberos-enabled

 Les autorisations et autorisations d'accès peuvent être gérées et intégrées selon les principes du moindre privilège et de la séparation des tâches, en activant Kerberos pour les clusters Amazon. EMR Dans Kerberos, les services et utilisateurs qui ont besoin de s'authentifier sont appelés principaux. Les principaux existent au sein d'un domaine Kerberos. Dans le domaine, un serveur Kerberos est appelé centre de distribution de clés ()KDC. Il fournit aux principaux un moyen de s'authentifier. Il s'KDCauthentifie en émettant des tickets d'authentification. Il KDC gère une base de données des principaux de son domaine, leurs mots de passe et d'autres informations administratives sur chaque principal.
10,51 Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes.

emr-master-no-public-IP

 Gérez l'accès au AWS cloud en vous assurant que les nœuds EMR principaux du cluster Amazon ne sont pas accessibles au public. Les nœuds EMR principaux du cluster Amazon peuvent contenir des informations sensibles et un contrôle d'accès est requis pour ces comptes.
10,51 Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes.

encrypted-volumes

 Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (AmazonEBS).
10,51 Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes.

iam-customer-policy-blocked-kms-actions

 AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en empêchant les politiques de contenir des actions bloquées sur toutes les clés du AWS Key Management Service. Avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : kms: Déchiffrer, kms:ReEncryptFrom). Les valeurs réelles doivent refléter les politiques de votre organisation
10,51 Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes.

iam-no-inline-policy-vérifier

 Assurez-vous qu'un utilisateur, un IAM rôle ou un IAM groupe AWS Identity and Access Management (IAM) ne dispose pas d'une politique intégrée pour contrôler l'accès aux systèmes et aux actifs. AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions et la restauration, ainsi que la délégation de la gestion des autorisations.
10,51 Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes.

iam-password-policy

 Les identités et les informations d'identification sont émises, gérées et vérifiées sur la base d'une politique de IAM mot de passe organisationnelle. Ils respectent ou dépassent les exigences énoncées dans le NIST SP 800-63 et dans la norme AWS Foundational Security Best Practices en matière de robustesse des mots de passe. Cette règle vous permet de définir éventuellement RequireUppercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireLowercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireSymbols (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireNumbers (valeur des meilleures pratiques de sécurité de AWS base : vrai), MinimumPasswordLength (valeur des meilleures pratiques de sécurité de AWS base : 14), PasswordReusePrevention (valeur des meilleures pratiques de sécurité de AWS base : 24) et MaxPasswordAge (valeur des meilleures pratiques de sécurité de AWS base : 90) pour votre IAMPolitique de mot de passe. Les valeurs réelles doivent refléter les politiques de votre organisation.
10,51 Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes.

iam-policy-no-statements-with-admin-access

 AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Allow » avec « Action » : « * » plutôt que « Resource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
10,51 Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes.

iam-root-access-key-vérifier

 L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son rôle AWS Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt la fonction basée sur Comptes AWS les rôles pour intégrer le principe de moindre fonctionnalité.
10,51 Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes.

iam-user-group-membership-vérifier

 AWS Identity and Access Management (IAM) peut vous aider à restreindre les autorisations et autorisations d'accès en vous assurant que IAM les utilisateurs sont membres d'au moins un groupe. Accorder aux utilisateurs plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
10,51 Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes.

iam-user-mfa-enabled

 Activez cette règle pour restreindre l'accès aux ressources dans le AWS cloud. Cette règle garantit que l'authentification multifactorielle (MFA) est activée pour tous les IAM utilisateurs. MFAajoute une couche de protection supplémentaire en plus du nom d'utilisateur et du mot de passe. Réduisez le nombre d'incidents liés à des comptes compromis en exigeant MFA des IAM utilisateurs.
10,51 Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes.

iam-user-no-policies-vérifier

 Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les risques qu'une identité reçoive ou conserve des privilèges excessifs.
10,51 Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes.

iam-user-unused-credentials-vérifier

 AWS Identity and Access Management (IAM) peut vous aider à obtenir des autorisations et des autorisations d'accès en vérifiant les IAM mots de passe et les clés d'accès qui ne sont pas utilisés pendant une période donnée. Si de telles informations d'identification non utilisées sont identifiées, vous devez les désactiver et/ou les supprimer afin de ne pas risquer d'enfreindre le principe du moindre privilège. Cette règle vous oblige à définir une valeur sur maxCredentialUsage Age (Config Default : 90). La valeur réelle doit refléter les politiques de votre organisation.
10,51 Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes.

internet-gateway-authorized-vpc-uniquement

 Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les passerelles Internet ne sont connectées qu'à Amazon Virtual Private Cloud (AmazonVPC) autorisé. Les passerelles Internet permettent un accès bidirectionnel à Internet depuis et vers Amazon, VPC ce qui peut potentiellement conduire à un accès non autorisé aux ressources AmazonVPC.
10,51 Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes.

kms-cmk-not-scheduled-pour suppression

 Pour protéger les données inactives, assurez-vous qu'il n'est pas prévu de supprimer les clés principales du client (CMKs) nécessaires dans le service de gestion des AWS clés (AWS KMS). La suppression de clés étant parfois nécessaire, cette règle peut aider à vérifier toutes les clés dont la suppression est prévue, au cas où la suppression d'une clé aurait été planifiée par inadvertance.
10,51 Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes.

lambda-function-public-access-interdit

 Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les fonctions AWS Lambda ne sont pas accessibles au public. Un accès public peut potentiellement entraîner une dégradation de la disponibilité des ressources.
10,51 Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes.

lambda-inside-vpc

 Déployez des fonctions AWS Lambda au sein d'un Amazon Virtual Private Cloud VPC (Amazon) pour une communication sécurisée entre une fonction et d'autres services au sein d'Amazon. VPC Avec cette configuration, il n'est pas nécessaire de disposer d'une passerelle Internet, d'un NAT appareil ou d'une VPN connexion. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolation logique, les domaines situés au sein d'un Amazon VPC disposent d'une couche de sécurité supplémentaire par rapport aux domaines utilisant des points de terminaison publics. Pour gérer correctement l'accès, les fonctions AWS Lambda doivent être attribuées à un. VPC
10,51 Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes.

no-unrestricted-route-to-igw

 Assurez-vous que les tables de EC2 routage Amazon ne disposent pas de routes illimitées vers une passerelle Internet. La suppression ou la limitation de l'accès à Internet pour les charges de travail au sein d'Amazon VPCs peut réduire les accès involontaires au sein de votre environnement.
10,51 Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes.

opensearch-encrypted-at-rest

 Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos domaines Amazon OpenSearch Service.
10,51 Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes.

opensearch-https-required

 Étant donné que des données sensibles peuvent exister et pour protéger les données en transit, assurez-vous HTTPS que les connexions à vos domaines Amazon OpenSearch Service sont activées.
10,51 Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes.

opensearch-in-vpc-only

 Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch Service se trouvent dans un Amazon Virtual Private Cloud (AmazonVPC). Un domaine Amazon OpenSearch Service au sein d'un Amazon VPC permet une communication sécurisée entre Amazon OpenSearch Service et d'autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un NAT appareil ou d'une VPN connexion.
10,51 Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes.

opensearch-node-to-node-vérification du chiffrement

 Assurez-vous que node-to-node le chiffrement pour Amazon OpenSearch Service est activé. Node-to-nodele chiffrement permet le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (AmazonVPC). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
10,51 Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes.

rds-instance-public-access-vérifier

 Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (RDSAmazon) ne sont pas publiques. Les instances RDS de base de données Amazon peuvent contenir des informations sensibles, et des principes et un contrôle d'accès sont requis pour ces comptes.
10,51 Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes.

rds-snapshots-public-prohibited

 Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (RDSAmazon) ne sont pas publiques. Les instances RDS de base de données Amazon peuvent contenir des informations et des principes sensibles et un contrôle d'accès est requis pour ces comptes.
10,51 Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes.

rds-snapshot-encrypted

 Assurez-vous que le chiffrement est activé pour vos instantanés Amazon Relational Database Service (RDSAmazon). Comme il peut y avoir des données sensibles au repos, activez le chiffrement au repos pour protéger ces données.
10,51 Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes.

rds-storage-encrypted

 Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos instances Amazon Relational Database Service (RDSAmazon). Étant donné que des données sensibles peuvent exister au repos dans RDS les instances Amazon, activez le chiffrement au repos pour protéger ces données.
10,51 Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes.

redshift-cluster-configuration-check

 Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default :TRUE) et loggingEnabled (Config Default :TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation.
10,51 Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes.

redshift-cluster-kms-enabled

 Pour protéger les données au repos, assurez-vous que le chiffrement avec AWS Key Management Service (AWS KMS) est activé pour votre cluster Amazon Redshift. Comme il peut y avoir des données sensibles au repos dans les clusters Redshift, activez le chiffrement au repos pour protéger ces données.
10,51 Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes.

redshift-cluster-public-access-vérifier

 Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
10,51 Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes.

redshift-enhanced-vpc-routing-activé

 VPCLe routage amélioré oblige tout COPY le UNLOAD trafic entre le cluster et les référentiels de données à passer par votre AmazonVPC. Vous pouvez ensuite utiliser des VPC fonctionnalités telles que les groupes de sécurité et les listes de contrôle d'accès au réseau pour sécuriser le trafic réseau. Vous pouvez également utiliser les journaux de VPC flux pour surveiller le trafic réseau.
10,51 Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes.

redshift-require-tls-ssl

 Assurez-vous que vos clusters Amazon Redshift nécessitent un SSL chiffrement TLS pour se connecter aux SQL clients. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
10,51 Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes.

root-account-hardware-mfa-activé

 Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le matériel MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. MFAAjoute une couche de protection supplémentaire pour le nom d'utilisateur et le mot de passe. En exigeant l'MFAaccès à l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission Comptes AWS.
10,51 Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes.

root-account-mfa-enabled

 Gérez l'accès aux ressources dans le AWS cloud en vous assurant MFA qu'il est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. MFAAjoute une couche de protection supplémentaire pour le nom d'utilisateur et le mot de passe. En exigeant l'MFAaccès à l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission Comptes AWS.
10,51 Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes.

s3- account-level-public-access -blocs-périodique

 Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation.
10,51 Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes.

s3- bucket-public-read-prohibited

 Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données.
10,51 Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes.

s3- bucket-public-write-prohibited

 Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données.
10,51 Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes.

compatible avec bucket-server-side-encryption s3

 Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans les compartiments Amazon S3, activez le chiffrement pour protéger ces données.
10,51 Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes.

s3- bucket-ssl-requests-only

 Pour protéger les données en transit, assurez-vous que vos compartiments Amazon Simple Storage Service (Amazon S3) nécessitent des demandes d'utilisation du protocole Secure Socket Layer (). SSL Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
10,51 Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes.

s3- default-encryption-kms

 Assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans un compartiment Amazon S3, activez le chiffrement au repos pour protéger ces données.
10,51 Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes.

sagemaker-endpoint-configuration-kms-configuré par clé

 Pour protéger les données au repos, assurez-vous que le chiffrement avec AWS Key Management Service (AWS KMS) est activé pour votre SageMaker terminal. Étant donné que les données sensibles peuvent exister au repos sur le SageMaker terminal, activez le chiffrement au repos pour protéger ces données.
10,51 Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes.

sagemaker-notebook-instance-kms-configuré par clé

 Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWS KMS) est activé pour votre SageMaker ordinateur portable. Étant donné que des données sensibles peuvent exister au repos dans le SageMaker bloc-notes, activez le chiffrement au repos pour protéger ces données.
10,51 Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes.

sagemaker-notebook-no-direct-accès à Internet

 Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les SageMaker blocs-notes Amazon ne permettent pas un accès direct à Internet. En empêchant l'accès direct à Internet, vous pouvez empêcher les utilisateurs non autorisés d'accéder à des données sensibles.
10,51 Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes.

sns-encrypted-kms

 Pour protéger les données au repos, assurez-vous que vos rubriques Amazon Simple Notification Service (AmazonSNS) nécessitent un chiffrement à l'aide du AWS Key Management Service (AWS KMS). Comme il peut y avoir des données sensibles au repos dans les messages publiés, activez le chiffrement au repos pour protéger ces données.
10,51 Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes.

ssm-document-not-public

 Assurez-vous que AWS les documents de Systems Manager (SSM) ne sont pas publics, car cela peut permettre un accès involontaire à vos SSM documents. Un SSM document public peut exposer des informations sur votre compte, vos ressources et vos processus internes.
10,51 Une institution financière doit mettre en œuvre des mesures de protection appropriées concernant les informations des clients et des contreparties, ainsi que les données propriétaires lorsqu'elle utilise des services cloud afin de se protéger contre toute divulgation et tout accès non autorisés. Ces mesures de protection comprennent le maintien de la propriété, du contrôle et de la gestion de toutes les données relatives aux clients, des informations des contreparties, des données propriétaires et des services hébergés sur le cloud, notamment la gestion des clés cryptographiques pertinentes.

subnet-auto-assign-public-IP désactivé

 Gérez l'accès au AWS cloud en vous assurant que les sous-réseaux Amazon Virtual Private Cloud (VPC) ne se voient pas automatiquement attribuer une adresse IP publique. Les instances Amazon Elastic Compute Cloud (EC2) lancées dans des sous-réseaux sur lesquels cet attribut est activé ont une adresse IP publique attribuée à leur interface réseau principale.
10,52 Une institution financière doit mettre en œuvre une politique de contrôle d'accès appropriée pour l'identification, l'authentification et l'autorisation des utilisateurs (utilisateurs internes et externes tels que les fournisseurs de services tiers). Cette politique doit couvrir les contrôles d'accès à la technologie à la fois logiques et physiques, lesquels sont proportionnels au niveau de risque d'accès non autorisé aux systèmes technologiques de cette institution

access-keys-rotated

 Les informations d'identification sont auditées pour les appareils, les utilisateurs et les processus autorisés en veillant IAM à ce que les clés d'accès soient alternées conformément à la politique de l'organisation. La modification régulière des clés d'accès est une bonne pratique de sécurité. Cela permet de raccourcir la période pendant laquelle une clé d'accès est active et de réduire l'impact commercial en cas de compromission des clés. Cette règle nécessite une valeur de rotation des clés d'accès (configuration par défaut : 90). La valeur réelle doit refléter les politiques de votre organisation.
10,52 Une institution financière doit mettre en œuvre une politique de contrôle d'accès appropriée pour l'identification, l'authentification et l'autorisation des utilisateurs (utilisateurs internes et externes tels que les fournisseurs de services tiers). Cette politique doit couvrir les contrôles d'accès à la technologie à la fois logiques et physiques, lesquels sont proportionnels au niveau de risque d'accès non autorisé aux systèmes technologiques de cette institution

account-part-of-organizations

 La gestion centralisée Comptes AWS au sein des AWS Organisations permet de garantir la conformité des comptes. L'absence de gouvernance centralisée des comptes peut entraîner des configurations de comptes incohérentes, ce qui peut exposer des ressources et des données sensibles.
10,52 Une institution financière doit mettre en œuvre une politique de contrôle d'accès appropriée pour l'identification, l'authentification et l'autorisation des utilisateurs (utilisateurs internes et externes tels que les fournisseurs de services tiers). Cette politique doit couvrir les contrôles d'accès à la technologie à la fois logiques et physiques, lesquels sont proportionnels au niveau de risque d'accès non autorisé aux systèmes technologiques de cette institution

ec2- instance-profile-attached

 EC2les profils d'instance transmettent un IAM rôle à une EC2 instance. L'association d'un profil d'instance à vos instances peut faciliter la gestion du moindre privilège et des autorisations.
10,52 Une institution financière doit mettre en œuvre une politique de contrôle d'accès appropriée pour l'identification, l'authentification et l'autorisation des utilisateurs (utilisateurs internes et externes tels que les fournisseurs de services tiers). Cette politique doit couvrir les contrôles d'accès à la technologie à la fois logiques et physiques, lesquels sont proportionnels au niveau de risque d'accès non autorisé aux systèmes technologiques de cette institution

emr-kerberos-enabled

 Les autorisations et autorisations d'accès peuvent être gérées et intégrées selon les principes du moindre privilège et de la séparation des tâches, en activant Kerberos pour les clusters Amazon. EMR Dans Kerberos, les services et utilisateurs qui ont besoin de s'authentifier sont appelés principaux. Les principaux existent au sein d'un domaine Kerberos. Dans le domaine, un serveur Kerberos est appelé centre de distribution de clés ()KDC. Il fournit aux principaux un moyen de s'authentifier. Il s'KDCauthentifie en émettant des tickets d'authentification. Il KDC gère une base de données des principaux de son domaine, leurs mots de passe et d'autres informations administratives sur chaque principal.
10,52 Une institution financière doit mettre en œuvre une politique de contrôle d'accès appropriée pour l'identification, l'authentification et l'autorisation des utilisateurs (utilisateurs internes et externes tels que les fournisseurs de services tiers). Cette politique doit couvrir les contrôles d'accès à la technologie à la fois logiques et physiques, lesquels sont proportionnels au niveau de risque d'accès non autorisé aux systèmes technologiques de cette institution

iam-customer-policy-blocked-kms-actions

 AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en empêchant les politiques de contenir des actions bloquées sur toutes les clés du AWS Key Management Service. Avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : kms: Déchiffrer, kms:ReEncryptFrom). Les valeurs réelles doivent refléter les politiques de votre organisation
10,52 Une institution financière doit mettre en œuvre une politique de contrôle d'accès appropriée pour l'identification, l'authentification et l'autorisation des utilisateurs (utilisateurs internes et externes tels que les fournisseurs de services tiers). Cette politique doit couvrir les contrôles d'accès à la technologie à la fois logiques et physiques, lesquels sont proportionnels au niveau de risque d'accès non autorisé aux systèmes technologiques de cette institution

iam-no-inline-policy-vérifier

 Assurez-vous qu'un utilisateur, un IAM rôle ou un IAM groupe AWS Identity and Access Management (IAM) ne dispose pas d'une politique intégrée pour contrôler l'accès aux systèmes et aux actifs. AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions et la restauration, ainsi que la délégation de la gestion des autorisations.
10,52 Une institution financière doit mettre en œuvre une politique de contrôle d'accès appropriée pour l'identification, l'authentification et l'autorisation des utilisateurs (utilisateurs internes et externes tels que les fournisseurs de services tiers). Cette politique doit couvrir les contrôles d'accès à la technologie à la fois logiques et physiques, lesquels sont proportionnels au niveau de risque d'accès non autorisé aux systèmes technologiques de cette institution

iam-password-policy

 Les identités et les informations d'identification sont émises, gérées et vérifiées sur la base d'une politique de IAM mot de passe organisationnelle. Ils respectent ou dépassent les exigences énoncées dans le NIST SP 800-63 et dans la norme AWS Foundational Security Best Practices en matière de robustesse des mots de passe. Cette règle vous permet de définir éventuellement RequireUppercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireLowercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireSymbols (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireNumbers (valeur des meilleures pratiques de sécurité de AWS base : vrai), MinimumPasswordLength (valeur des meilleures pratiques de sécurité de AWS base : 14), PasswordReusePrevention (valeur des meilleures pratiques de sécurité de AWS base : 24) et MaxPasswordAge (valeur des meilleures pratiques de sécurité de AWS base : 90) pour votre IAMPolitique de mot de passe. Les valeurs réelles doivent refléter les politiques de votre organisation.
10,52 Une institution financière doit mettre en œuvre une politique de contrôle d'accès appropriée pour l'identification, l'authentification et l'autorisation des utilisateurs (utilisateurs internes et externes tels que les fournisseurs de services tiers). Cette politique doit couvrir les contrôles d'accès à la technologie à la fois logiques et physiques, lesquels sont proportionnels au niveau de risque d'accès non autorisé aux systèmes technologiques de cette institution

iam-policy-no-statements-with-admin-access

 AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Allow » avec « Action » : « * » plutôt que « Resource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
10,52 Une institution financière doit mettre en œuvre une politique de contrôle d'accès appropriée pour l'identification, l'authentification et l'autorisation des utilisateurs (utilisateurs internes et externes tels que les fournisseurs de services tiers). Cette politique doit couvrir les contrôles d'accès à la technologie à la fois logiques et physiques, lesquels sont proportionnels au niveau de risque d'accès non autorisé aux systèmes technologiques de cette institution

iam-root-access-key-vérifier

 L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son rôle AWS Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt la fonction basée sur Comptes AWS les rôles pour intégrer le principe de moindre fonctionnalité.
10,52 Une institution financière doit mettre en œuvre une politique de contrôle d'accès appropriée pour l'identification, l'authentification et l'autorisation des utilisateurs (utilisateurs internes et externes tels que les fournisseurs de services tiers). Cette politique doit couvrir les contrôles d'accès à la technologie à la fois logiques et physiques, lesquels sont proportionnels au niveau de risque d'accès non autorisé aux systèmes technologiques de cette institution

iam-user-group-membership-vérifier

 AWS Identity and Access Management (IAM) peut vous aider à restreindre les autorisations et autorisations d'accès en vous assurant que IAM les utilisateurs sont membres d'au moins un groupe. Accorder aux utilisateurs plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
10,52 Une institution financière doit mettre en œuvre une politique de contrôle d'accès appropriée pour l'identification, l'authentification et l'autorisation des utilisateurs (utilisateurs internes et externes tels que les fournisseurs de services tiers). Cette politique doit couvrir les contrôles d'accès à la technologie à la fois logiques et physiques, lesquels sont proportionnels au niveau de risque d'accès non autorisé aux systèmes technologiques de cette institution

iam-user-mfa-enabled

 Activez cette règle pour restreindre l'accès aux ressources dans le AWS cloud. Cette règle garantit que l'authentification multifactorielle (MFA) est activée pour tous les IAM utilisateurs. MFAajoute une couche de protection supplémentaire en plus du nom d'utilisateur et du mot de passe. Réduisez le nombre d'incidents liés à des comptes compromis en exigeant MFA des IAM utilisateurs.
10,52 Une institution financière doit mettre en œuvre une politique de contrôle d'accès appropriée pour l'identification, l'authentification et l'autorisation des utilisateurs (utilisateurs internes et externes tels que les fournisseurs de services tiers). Cette politique doit couvrir les contrôles d'accès à la technologie à la fois logiques et physiques, lesquels sont proportionnels au niveau de risque d'accès non autorisé aux systèmes technologiques de cette institution

iam-user-no-policies-vérifier

 Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les risques qu'une identité reçoive ou conserve des privilèges excessifs.
10,52 Une institution financière doit mettre en œuvre une politique de contrôle d'accès appropriée pour l'identification, l'authentification et l'autorisation des utilisateurs (utilisateurs internes et externes tels que les fournisseurs de services tiers). Cette politique doit couvrir les contrôles d'accès à la technologie à la fois logiques et physiques, lesquels sont proportionnels au niveau de risque d'accès non autorisé aux systèmes technologiques de cette institution.

iam-user-unused-credentials-vérifier

 AWS Identity and Access Management (IAM) peut vous aider à obtenir des autorisations et des autorisations d'accès en vérifiant les IAM mots de passe et les clés d'accès qui ne sont pas utilisés pendant une période donnée. Si de telles informations d'identification non utilisées sont identifiées, vous devez les désactiver et/ou les supprimer afin de ne pas risquer d'enfreindre le principe du moindre privilège. Cette règle vous oblige à définir une valeur sur maxCredentialUsage Age (Config Default : 90). La valeur réelle doit refléter les politiques de votre organisation.
10,52 Une institution financière doit mettre en œuvre une politique de contrôle d'accès appropriée pour l'identification, l'authentification et l'autorisation des utilisateurs (utilisateurs internes et externes tels que les fournisseurs de services tiers). Cette politique doit couvrir les contrôles d'accès à la technologie à la fois logiques et physiques, lesquels sont proportionnels au niveau de risque d'accès non autorisé aux systèmes technologiques de cette institution

root-account-hardware-mfa-activé

 Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le matériel MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. MFAAjoute une couche de protection supplémentaire pour le nom d'utilisateur et le mot de passe. En exigeant l'MFAaccès à l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission Comptes AWS.
10,52 Une institution financière doit mettre en œuvre une politique de contrôle d'accès appropriée pour l'identification, l'authentification et l'autorisation des utilisateurs (utilisateurs internes et externes tels que les fournisseurs de services tiers). Cette politique doit couvrir les contrôles d'accès à la technologie à la fois logiques et physiques, lesquels sont proportionnels au niveau de risque d'accès non autorisé aux systèmes technologiques de cette institution

root-account-mfa-enabled

 Gérez l'accès aux ressources dans le AWS cloud en vous assurant MFA qu'il est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. MFAAjoute une couche de protection supplémentaire pour le nom d'utilisateur et le mot de passe. En exigeant l'MFAaccès à l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission Comptes AWS.
10.53(b)(h)(i) En respectant le paragraphe 10.52, une institution financière doit tenir compte des principes suivants dans sa politique de contrôle d'accès : (b) utiliser les droits d'accès « minimaux » ou sur une base « need-to-have » où seules les autorisations minimales suffisantes sont accordées aux utilisateurs légitimes pour exercer leurs rôles ; (h) limiter et contrôler le partage des identifiants utilisateur et des mots de passe entre plusieurs utilisateurs ; et (i) contrôler l'utilisation de conventions génériques de dénomination des identifiants d'utilisateur en faveur d'une identification IDs plus personnelle.

iam-root-access-key-vérifier

 L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son rôle AWS Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt la fonction basée sur Comptes AWS les rôles pour intégrer le principe de moindre fonctionnalité.
10.53(b) En respectant le paragraphe 10.52, une institution financière doit tenir compte des principes suivants dans sa politique de contrôle d'accès : (b) utiliser le droit d'accès « du moindre privilège » ou sur une base « need-to-have » selon laquelle seules les autorisations minimales suffisantes sont accordées aux utilisateurs légitimes pour qu'ils remplissent leurs rôles ;

ec2- instance-profile-attached

 EC2les profils d'instance transmettent un IAM rôle à une EC2 instance. L'association d'un profil d'instance à vos instances peut faciliter la gestion du moindre privilège et des autorisations.
10.53(b) En respectant le paragraphe 10.52, une institution financière doit tenir compte des principes suivants dans sa politique de contrôle d'accès : (b) utiliser le droit d'accès « du moindre privilège » ou sur une base « need-to-have » selon laquelle seules les autorisations minimales suffisantes sont accordées aux utilisateurs légitimes pour qu'ils remplissent leurs rôles ;

emr-kerberos-enabled

 Les autorisations et autorisations d'accès peuvent être gérées et intégrées selon les principes du moindre privilège et de la séparation des tâches, en activant Kerberos pour les clusters Amazon. EMR Dans Kerberos, les services et utilisateurs qui ont besoin de s'authentifier sont appelés principaux. Les principaux existent au sein d'un domaine Kerberos. Dans le domaine, un serveur Kerberos est appelé centre de distribution de clés ()KDC. Il fournit aux principaux un moyen de s'authentifier. Il s'KDCauthentifie en émettant des tickets d'authentification. Il KDC gère une base de données des principaux de son domaine, leurs mots de passe et d'autres informations administratives sur chaque principal.
10.53(b) En respectant le paragraphe 10.52, une institution financière doit tenir compte des principes suivants dans sa politique de contrôle d'accès : (b) utiliser le droit d'accès « du moindre privilège » ou sur une base « need-to-have » selon laquelle seules les autorisations minimales suffisantes sont accordées aux utilisateurs légitimes pour qu'ils remplissent leurs rôles ;

iam-customer-policy-blocked-kms-actions

 AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en empêchant les politiques de contenir des actions bloquées sur toutes les clés du AWS Key Management Service. Avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : kms: Déchiffrer, kms:ReEncryptFrom). Les valeurs réelles doivent refléter les politiques de votre organisation
10.53(b) En respectant le paragraphe 10.52, une institution financière doit tenir compte des principes suivants dans sa politique de contrôle d'accès : (b) utiliser le droit d'accès « du moindre privilège » ou sur une base « need-to-have » selon laquelle seules les autorisations minimales suffisantes sont accordées aux utilisateurs légitimes pour qu'ils remplissent leurs rôles ;

iam-no-inline-policy-vérifier

 Assurez-vous qu'un utilisateur, un IAM rôle ou un IAM groupe AWS Identity and Access Management (IAM) ne dispose pas d'une politique intégrée pour contrôler l'accès aux systèmes et aux actifs. AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions et la restauration, ainsi que la délégation de la gestion des autorisations.
10.53(b) En respectant le paragraphe 10.52, une institution financière doit tenir compte des principes suivants dans sa politique de contrôle d'accès : (b) utiliser le droit d'accès « du moindre privilège » ou sur une base « need-to-have » selon laquelle seules les autorisations minimales suffisantes sont accordées aux utilisateurs légitimes pour qu'ils remplissent leurs rôles ;

iam-policy-no-statements-with-admin-access

 AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Allow » avec « Action » : « * » plutôt que « Resource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
10.53(b) En respectant le paragraphe 10.52, une institution financière doit tenir compte des principes suivants dans sa politique de contrôle d'accès : (b) utiliser le droit d'accès « du moindre privilège » ou sur une base « need-to-have » selon laquelle seules les autorisations minimales suffisantes sont accordées aux utilisateurs légitimes pour qu'ils remplissent leurs rôles ;

iam-user-group-membership-vérifier

 AWS Identity and Access Management (IAM) peut vous aider à restreindre les autorisations et autorisations d'accès en vous assurant que IAM les utilisateurs sont membres d'au moins un groupe. Accorder aux utilisateurs plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
10.53(b) En respectant le paragraphe 10.52, une institution financière doit tenir compte des principes suivants dans sa politique de contrôle d'accès : (b) utiliser le droit d'accès « du moindre privilège » ou sur une base « need-to-have » selon laquelle seules les autorisations minimales suffisantes sont accordées aux utilisateurs légitimes pour qu'ils remplissent leurs rôles ;

iam-user-no-policies-vérifier

 Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les risques qu'une identité reçoive ou conserve des privilèges excessifs.
10.53(c)(f) Conformément au paragraphe 10.52, une institution financière doit intégrer les principes suivants à sa politique de contrôle d'accès : (c) utiliser des droits d'accès limités dans le temps qui restreignent l'accès à une période spécifique, y compris les droits d'accès accordés aux fournisseurs de services ; (f) appliquer une authentification plus stricte pour les activités critiques, notamment l'accès à distance

iam-password-policy

 Les identités et les informations d'identification sont émises, gérées et vérifiées sur la base d'une politique de IAM mot de passe organisationnelle. Ils respectent ou dépassent les exigences énoncées dans le NIST SP 800-63 et dans la norme AWS Foundational Security Best Practices en matière de robustesse des mots de passe. Cette règle vous permet de définir éventuellement RequireUppercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireLowercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireSymbols (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireNumbers (valeur des meilleures pratiques de sécurité de AWS base : vrai), MinimumPasswordLength (valeur des meilleures pratiques de sécurité de AWS base : 14), PasswordReusePrevention (valeur des meilleures pratiques de sécurité de AWS base : 24) et MaxPasswordAge (valeur des meilleures pratiques de sécurité de AWS base : 90) pour votre IAMPolitique de mot de passe. Les valeurs réelles doivent refléter les politiques de votre organisation.
10.53(f)(h) Conformément au paragraphe 10.52, une institution financière doit intégrer les principes suivants à sa politique de contrôle d'accès : (f) adopter une authentification plus stricte pour les activités critiques, notamment pour l'accès à distance ; (h) limiter et contrôler le partage des identifiants d'utilisateur et des mots de passe entre plusieurs utilisateurs

iam-user-mfa-enabled

 Activez cette règle pour restreindre l'accès aux ressources dans le AWS cloud. Cette règle garantit que l'authentification multifactorielle (MFA) est activée pour tous les IAM utilisateurs. MFAajoute une couche de protection supplémentaire en plus du nom d'utilisateur et du mot de passe. Réduisez le nombre d'incidents liés à des comptes compromis en exigeant MFA des IAM utilisateurs.
10.53(f)(h) Conformément au paragraphe 10.54, une institution financière doit intégrer les principes suivants à sa politique de contrôle d'accès : (f) adopter une authentification plus stricte pour les activités critiques, notamment pour l'accès à distance ; (h) limiter et contrôler le partage des identifiants d'utilisateur et des mots de passe entre plusieurs utilisateurs

root-account-hardware-mfa-activé

 Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le matériel MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. MFAAjoute une couche de protection supplémentaire pour le nom d'utilisateur et le mot de passe. En exigeant l'MFAaccès à l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission Comptes AWS.
10.53(f)(h) Conformément au paragraphe 10.54, une institution financière doit intégrer les principes suivants à sa politique de contrôle d'accès : (f) adopter une authentification plus stricte pour les activités critiques, notamment pour l'accès à distance ; (h) limiter et contrôler le partage des identifiants d'utilisateur et des mots de passe entre plusieurs utilisateurs

root-account-mfa-enabled

 Gérez l'accès aux ressources dans le AWS cloud en vous assurant MFA qu'il est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. MFAAjoute une couche de protection supplémentaire pour le nom d'utilisateur et le mot de passe. En exigeant l'MFAaccès à l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission Comptes AWS.
10,54 Une institution financière doit utiliser des processus d'authentification robustes pour garantir l'authenticité des identités utilisées. Les mécanismes d'authentification doivent être proportionnels à la criticité des fonctions et adopter au moins un de ces trois facteurs d'authentification de base, à savoir ce que l'utilisateur connaît (par exemple un mot de passePIN), quelque chose qu'il possède (par exemple une carte à puce, un dispositif de sécurité) et ce qu'il est (par exemple, des caractéristiques biométriques, telles qu'une empreinte digitale ou un schéma rétinien).

iam-user-mfa-enabled

 Activez cette règle pour restreindre l'accès aux ressources dans le AWS cloud. Cette règle garantit que l'authentification multifactorielle (MFA) est activée pour tous les IAM utilisateurs. MFAajoute une couche de protection supplémentaire en plus du nom d'utilisateur et du mot de passe. Réduisez le nombre d'incidents liés à des comptes compromis en exigeant MFA des IAM utilisateurs.
10,54 Une institution financière doit utiliser des processus d'authentification robustes pour garantir l'authenticité des identités utilisées. Les mécanismes d'authentification doivent être proportionnels à la criticité des fonctions et adopter au moins un de ces trois facteurs d'authentification de base, à savoir ce que l'utilisateur connaît (par exemple un mot de passePIN), quelque chose qu'il possède (par exemple une carte à puce, un dispositif de sécurité) et ce qu'il est (par exemple, des caractéristiques biométriques, telles qu'une empreinte digitale ou un schéma rétinien).

root-account-hardware-mfa-activé

 Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le matériel MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. MFAAjoute une couche de protection supplémentaire pour le nom d'utilisateur et le mot de passe. En exigeant l'MFAaccès à l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission Comptes AWS.
10,54 Une institution financière doit utiliser des processus d'authentification robustes pour garantir l'authenticité des identités utilisées. Les mécanismes d'authentification doivent être proportionnels à la criticité des fonctions et adopter au moins un de ces trois facteurs d'authentification de base, à savoir ce que l'utilisateur connaît (par exemple un mot de passePIN), quelque chose qu'il possède (par exemple une carte à puce, un dispositif de sécurité) et ce qu'il est (par exemple, des caractéristiques biométriques, telles qu'une empreinte digitale ou un schéma rétinien).

root-account-mfa-enabled

 Gérez l'accès aux ressources dans le AWS cloud en vous assurant MFA qu'il est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. MFAAjoute une couche de protection supplémentaire pour le nom d'utilisateur et le mot de passe. En exigeant l'MFAaccès à l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission Comptes AWS.
10,55 Une institution financière doit revoir et adapter régulièrement ses pratiques en matière de mots de passe afin de renforcer sa résilience face à l'évolution des attaques. Ces pratiques comprennent la génération efficace et sécurisée des mots de passe. Des contrôles appropriés doivent être mis en place pour vérifier le niveau de sécurité des mots de passe créés.

iam-password-policy

 Les identités et les informations d'identification sont émises, gérées et vérifiées sur la base d'une politique de IAM mot de passe organisationnelle. Ils respectent ou dépassent les exigences énoncées dans le NIST SP 800-63 et dans la norme AWS Foundational Security Best Practices en matière de robustesse des mots de passe. Cette règle vous permet de définir éventuellement RequireUppercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireLowercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireSymbols (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireNumbers (valeur des meilleures pratiques de sécurité de AWS base : vrai), MinimumPasswordLength (valeur des meilleures pratiques de sécurité de AWS base : 14), PasswordReusePrevention (valeur des meilleures pratiques de sécurité de AWS base : 24) et MaxPasswordAge (valeur des meilleures pratiques de sécurité de AWS base : 90) pour votre IAMPolitique de mot de passe. Les valeurs réelles doivent refléter les politiques de votre organisation.
10,56 Les méthodes d'authentification qui dépendent de plusieurs facteurs sont généralement plus difficiles à compromettre qu'un système utilisant un seul facteur. Dans ce contexte, les institutions financières sont encouragées à concevoir et à mettre en œuvre correctement (en particulier dans les systèmes à haut risque ou « d'authentification unique ») une authentification multifactorielle (MFA) plus fiable et plus dissuasive contre la fraude

iam-user-mfa-enabled

 Activez cette règle pour restreindre l'accès aux ressources dans le AWS cloud. Cette règle garantit que l'authentification multifactorielle (MFA) est activée pour tous les IAM utilisateurs. MFAajoute une couche de protection supplémentaire en plus du nom d'utilisateur et du mot de passe. Réduisez le nombre d'incidents liés à des comptes compromis en exigeant MFA des IAM utilisateurs.
10,56 Les méthodes d'authentification qui dépendent de plusieurs facteurs sont généralement plus difficiles à compromettre qu'un système utilisant un seul facteur. Dans ce contexte, les institutions financières sont encouragées à concevoir et à mettre en œuvre correctement (en particulier dans les systèmes à haut risque ou « d'authentification unique ») une authentification multifactorielle (MFA) plus fiable et plus dissuasive contre la fraude

root-account-hardware-mfa-activé

 Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le matériel MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. MFAAjoute une couche de protection supplémentaire pour le nom d'utilisateur et le mot de passe. En exigeant l'MFAaccès à l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission Comptes AWS.
10,56 Les méthodes d'authentification qui dépendent de plusieurs facteurs sont généralement plus difficiles à compromettre qu'un système utilisant un seul facteur. Dans ce contexte, les institutions financières sont encouragées à concevoir et à mettre en œuvre correctement (en particulier dans les systèmes à haut risque ou « d'authentification unique ») une authentification multifactorielle (MFA) plus fiable et plus dissuasive contre la fraude

root-account-mfa-enabled

 Gérez l'accès aux ressources dans le AWS cloud en vous assurant MFA qu'il est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. MFAAjoute une couche de protection supplémentaire pour le nom d'utilisateur et le mot de passe. En exigeant l'MFAaccès à l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission Comptes AWS.
10,59 Une institution financière doit veiller à ce que (a) les contrôles d'accès aux systèmes à l'échelle de l'entreprise soient gérés et surveillés efficacement ; et (b) les activités des utilisateurs dans les systèmes critiques soient journalisées à des fins d'audit et d'enquêtes. Les journaux d'activité doivent être conservés pendant au moins trois ans et révisés régulièrement en temps opportun.

access-keys-rotated

 Les informations d'identification sont auditées pour les appareils, les utilisateurs et les processus autorisés en veillant IAM à ce que les clés d'accès soient alternées conformément à la politique de l'organisation. La modification régulière des clés d'accès est une bonne pratique de sécurité. Cela permet de raccourcir la période pendant laquelle une clé d'accès est active et de réduire l'impact commercial en cas de compromission des clés. Cette règle nécessite une valeur de rotation des clés d'accès (configuration par défaut : 90). La valeur réelle doit refléter les politiques de votre organisation.
10,59 Une institution financière doit veiller à ce que (a) les contrôles d'accès aux systèmes à l'échelle de l'entreprise soient gérés et surveillés efficacement ; et (b) les activités des utilisateurs dans les systèmes critiques soient journalisées à des fins d'audit et d'enquêtes. Les journaux d'activité doivent être conservés pendant au moins trois ans et révisés régulièrement en temps opportun.

account-part-of-organizations

 La gestion centralisée Comptes AWS au sein des AWS Organisations permet de garantir la conformité des comptes. L'absence de gouvernance centralisée des comptes peut entraîner des configurations de comptes incohérentes, ce qui peut exposer des ressources et des données sensibles.
10,59 Une institution financière doit veiller à ce que (a) les contrôles d'accès aux systèmes à l'échelle de l'entreprise soient gérés et surveillés efficacement ; et (b) les activités des utilisateurs dans les systèmes critiques soient journalisées à des fins d'audit et d'enquêtes. Les journaux d'activité doivent être conservés pendant au moins trois ans et révisés régulièrement en temps opportun.

api-gw-execution-logging-activé

 APILa journalisation de la passerelle affiche des vues détaillées API des utilisateurs qui ont accédé auAPI. Ces informations offrent une visibilité sur les activités des utilisateurs.
10,59 Une institution financière doit veiller à ce que (a) les contrôles d'accès aux systèmes à l'échelle de l'entreprise soient gérés et surveillés efficacement ; et (b) les activités des utilisateurs dans les systèmes critiques soient journalisées à des fins d'audit et d'enquêtes. Les journaux d'activité doivent être conservés pendant au moins trois ans et révisés régulièrement en temps opportun.

cloudtrail-s3-dataevents-enabled

 La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les Compte AWS informations qui ont accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement.
10,59 Une institution financière doit veiller à ce que (a) les contrôles d'accès aux systèmes à l'échelle de l'entreprise soient gérés et surveillés efficacement ; et (b) les activités des utilisateurs dans les systèmes critiques soient journalisées à des fins d'audit et d'enquêtes. Les journaux d'activité doivent être conservés pendant au moins trois ans et révisés régulièrement en temps opportun.

cloudtrail-security-trail-enabled

 Cette règle permet de garantir l'utilisation des meilleures pratiques de sécurité AWS recommandées pour AWS CloudTrail, en vérifiant l'activation de plusieurs paramètres. Il s'agit notamment de l'utilisation du chiffrement des journaux, de la validation des journaux et de AWS CloudTrail l'activation dans plusieurs régions.
10,59 Une institution financière doit veiller à ce que (a) les contrôles d'accès aux systèmes à l'échelle de l'entreprise soient gérés et surveillés efficacement ; et (b) les activités des utilisateurs dans les systèmes critiques soient journalisées à des fins d'audit et d'enquêtes. Les journaux d'activité doivent être conservés pendant au moins trois ans et révisés régulièrement en temps opportun.

cloud-trail-cloud-watch-activé pour les journaux

 Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des détails sur l'activité des API appels au sein de votre Compte AWS.
10,59 Une institution financière doit veiller à ce que (a) les contrôles d'accès aux systèmes à l'échelle de l'entreprise soient gérés et surveillés efficacement ; et (b) les activités des utilisateurs dans les systèmes critiques soient journalisées à des fins d'audit et d'enquêtes. Les journaux d'activité doivent être conservés pendant au moins trois ans et révisés régulièrement en temps opportun.

cw-loggroup-retention-period-vérifier

 Assurez-vous que la durée minimale de conservation des données des journaux d'événements pour vos groupes de journaux est suffisante pour faciliter le dépannage et les enquêtes judiciaires. Le manque de données disponibles dans les journaux d'événements passés complique la reconstitution et l'identification des événements potentiellement malveillants.
10,59 Une institution financière doit veiller à ce que (a) les contrôles d'accès aux systèmes à l'échelle de l'entreprise soient gérés et surveillés efficacement ; et (b) les activités des utilisateurs dans les systèmes critiques soient journalisées à des fins d'audit et d'enquêtes. Les journaux d'activité doivent être conservés pendant au moins trois ans et révisés régulièrement en temps opportun.

ec2- instance-profile-attached

 EC2les profils d'instance transmettent un IAM rôle à une EC2 instance. L'association d'un profil d'instance à vos instances peut faciliter la gestion du moindre privilège et des autorisations.
10,59 Une institution financière doit veiller à ce que (a) les contrôles d'accès aux systèmes à l'échelle de l'entreprise soient gérés et surveillés efficacement ; et (b) les activités des utilisateurs dans les systèmes critiques soient journalisées à des fins d'audit et d'enquêtes. Les journaux d'activité doivent être conservés pendant au moins trois ans et révisés régulièrement en temps opportun.

elb-logging-enabled

 L'activité Elastic Load Balancing est un point de communication central au sein d'un environnement. Assurez-vous que la ELB journalisation est activée. Les données collectées fournissent des informations détaillées sur les demandes envoyées auELB. Chaque journal contient des informations comme l'heure à laquelle la demande a été reçue, l'adresse IP du client, les latences, les chemins de demande et les réponses du serveur.
10,59 Une institution financière doit veiller à ce que (a) les contrôles d'accès aux systèmes à l'échelle de l'entreprise soient gérés et surveillés efficacement ; et (b) les activités des utilisateurs dans les systèmes critiques soient journalisées à des fins d'audit et d'enquêtes. Les journaux d'activité doivent être conservés pendant au moins trois ans et révisés régulièrement en temps opportun.

iam-customer-policy-blocked-kms-actions

 AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en empêchant les politiques de contenir des actions bloquées sur toutes les clés du AWS Key Management Service. Avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : kms: Déchiffrer, kms:ReEncryptFrom). Les valeurs réelles doivent refléter les politiques de votre organisation
10,59 Une institution financière doit veiller à ce que (a) les contrôles d'accès aux systèmes à l'échelle de l'entreprise soient gérés et surveillés efficacement ; et (b) les activités des utilisateurs dans les systèmes critiques soient journalisées à des fins d'audit et d'enquêtes. Les journaux d'activité doivent être conservés pendant au moins trois ans et révisés régulièrement en temps opportun.

iam-password-policy

 Les identités et les informations d'identification sont émises, gérées et vérifiées sur la base d'une politique de IAM mot de passe organisationnelle. Ils respectent ou dépassent les exigences énoncées dans le NIST SP 800-63 et dans la norme AWS Foundational Security Best Practices en matière de robustesse des mots de passe. Cette règle vous permet de définir éventuellement RequireUppercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireLowercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireSymbols (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireNumbers (valeur des meilleures pratiques de sécurité de AWS base : vrai), MinimumPasswordLength (valeur des meilleures pratiques de sécurité de AWS base : 14), PasswordReusePrevention (valeur des meilleures pratiques de sécurité de AWS base : 24) et MaxPasswordAge (valeur des meilleures pratiques de sécurité de AWS base : 90) pour votre IAMPolitique de mot de passe. Les valeurs réelles doivent refléter les politiques de votre organisation.
10,59 Une institution financière doit veiller à ce que (a) les contrôles d'accès aux systèmes à l'échelle de l'entreprise soient gérés et surveillés efficacement ; et (b) les activités des utilisateurs dans les systèmes critiques soient journalisées à des fins d'audit et d'enquêtes. Les journaux d'activité doivent être conservés pendant au moins trois ans et révisés régulièrement en temps opportun.

iam-policy-no-statements-with-admin-access

 AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Allow » avec « Action » : « * » plutôt que « Resource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
10,59 Une institution financière doit veiller à ce que (a) les contrôles d'accès aux systèmes à l'échelle de l'entreprise soient gérés et surveillés efficacement ; et (b) les activités des utilisateurs dans les systèmes critiques soient journalisées à des fins d'audit et d'enquêtes. Les journaux d'activité doivent être conservés pendant au moins trois ans et révisés régulièrement en temps opportun.

iam-root-access-key-vérifier

 L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son rôle AWS Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt la fonction basée sur Comptes AWS les rôles pour intégrer le principe de moindre fonctionnalité.
10,59 Une institution financière doit veiller à ce que (a) les contrôles d'accès aux systèmes à l'échelle de l'entreprise soient gérés et surveillés efficacement ; et (b) les activités des utilisateurs dans les systèmes critiques soient journalisées à des fins d'audit et d'enquêtes. Les journaux d'activité doivent être conservés pendant au moins trois ans et révisés régulièrement en temps opportun.

iam-user-group-membership-vérifier

 AWS Identity and Access Management (IAM) peut vous aider à restreindre les autorisations et autorisations d'accès en vous assurant que IAM les utilisateurs sont membres d'au moins un groupe. Accorder aux utilisateurs plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
10,59 Une institution financière doit veiller à ce que (a) les contrôles d'accès aux systèmes à l'échelle de l'entreprise soient gérés et surveillés efficacement ; et (b) les activités des utilisateurs dans les systèmes critiques soient journalisées à des fins d'audit et d'enquêtes. Les journaux d'activité doivent être conservés pendant au moins trois ans et révisés régulièrement en temps opportun.

iam-user-no-policies-vérifier

 Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les risques qu'une identité reçoive ou conserve des privilèges excessifs.
10,59 Une institution financière doit veiller à ce que (a) les contrôles d'accès aux systèmes à l'échelle de l'entreprise soient gérés et surveillés efficacement ; et (b) les activités des utilisateurs dans les systèmes critiques soient journalisées à des fins d'audit et d'enquêtes. Les journaux d'activité doivent être conservés pendant au moins trois ans et révisés régulièrement en temps opportun.

opensearch-logs-to-cloudwatch

 Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. OpenSearch Les journaux des erreurs de service peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité.
10,59 Une institution financière doit veiller à ce que (a) les contrôles d'accès aux systèmes à l'échelle de l'entreprise soient gérés et surveillés efficacement ; et (b) les activités des utilisateurs dans les systèmes critiques soient journalisées à des fins d'audit et d'enquêtes. Les journaux d'activité doivent être conservés pendant au moins trois ans et révisés régulièrement en temps opportun.

rds-logging-enabled

 Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (RDSAmazon) est activée. Avec Amazon RDS Logging, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées.
10,59 Une institution financière doit veiller à ce que (a) les contrôles d'accès aux systèmes à l'échelle de l'entreprise soient gérés et surveillés efficacement ; et (b) les activités des utilisateurs dans les systèmes critiques soient journalisées à des fins d'audit et d'enquêtes. Les journaux d'activité doivent être conservés pendant au moins trois ans et révisés régulièrement en temps opportun.

redshift-cluster-configuration-check

 Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default :TRUE) et loggingEnabled (Config Default :TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation.
10,59 Une institution financière doit veiller à ce que (a) les contrôles d'accès aux systèmes à l'échelle de l'entreprise soient gérés et surveillés efficacement ; et (b) les activités des utilisateurs dans les systèmes critiques soient journalisées à des fins d'audit et d'enquêtes. Les journaux d'activité doivent être conservés pendant au moins trois ans et révisés régulièrement en temps opportun.

s3- bucket-logging-enabled

 La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant.
10,59 Une institution financière doit veiller à ce que (a) les contrôles d'accès aux systèmes à l'échelle de l'entreprise soient gérés et surveillés efficacement ; et (b) les activités des utilisateurs dans les systèmes critiques soient journalisées à des fins d'audit et d'enquêtes. Les journaux d'activité doivent être conservés pendant au moins trois ans et révisés régulièrement en temps opportun.

wafv2-logging-enabled

 Pour faciliter la journalisation et la surveillance au sein de votre environnement, activez la journalisation AWS WAF (V2) sur le Web régional et mondialACLs. AWS WAFla journalisation fournit des informations détaillées sur le trafic analysé par votre site WebACL. Les journaux enregistrent l'heure à laquelle la demande AWS WAF a été reçue de votre AWS ressource, les informations relatives à la demande et une action pour la règle à laquelle chaque demande correspond.
10,60 Pour satisfaire à l'exigence du paragraphe 10.59, les grandes institutions financières sont tenues de (a) déployer un système de gestion des accès aux identités afin de gérer et de surveiller efficacement l'accès des utilisateurs aux systèmes de l'entreprise ; et (b) déployer des outils d'audit automatisés pour signaler toute anomalie.

cloud-trail-cloud-watch-activé pour les journaux

 Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des détails sur l'activité des API appels au sein de votre Compte AWS.
10,60 Pour satisfaire à l'exigence du paragraphe 10.61, les grandes institutions financières sont tenues de (a) déployer un système de gestion des accès aux identités afin de gérer et de surveiller efficacement l'accès des utilisateurs aux systèmes de l'entreprise ; et (b) déployer des outils d'audit automatisés pour signaler toute anomalie.

guardduty-enabled-centralized

 Amazon GuardDuty peut aider à surveiller et à détecter les événements de cybersécurité potentiels en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes de programmes malveillants IPs et d'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud.
10,60 Pour satisfaire à l'exigence du paragraphe 10.61, les grandes institutions financières sont tenues de (a) déployer un système de gestion des accès aux identités afin de gérer et de surveiller efficacement l'accès des utilisateurs aux systèmes de l'entreprise ; et (b) déployer des outils d'audit automatisés pour signaler toute anomalie.

securityhub-enabled

 AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi AWS que des solutions partenaires.
10,61 Une institution financière doit s'assurer que les systèmes critiques ne fonctionnent pas sur des systèmes obsolètes présentant des failles de sécurité connues ou des systèmes technologiques end-of-life (EOL). À cet égard, une institution financière doit clairement attribuer des responsabilités aux fonctions définies : (a) surveiller en permanence et mettre en œuvre les dernières versions de correctifs en temps opportun ; et (b) identifier les systèmes technologiques critiques qui devraient faire l'EOLobjet de nouvelles mesures correctives.

ec2- -manager instance-managed-by-systems

 Un inventaire des plateformes logicielles et des applications au sein de l'organisation est possible en gérant les instances Amazon Elastic Compute Cloud (AmazonEC2) avec AWS Systems Manager. Utilisez AWS Systems Manager pour fournir des configurations système détaillées, les niveaux de correctif du système d'exploitation, le nom et le type de service, les installations logicielles, le nom, l'éditeur et la version de l'application, ainsi que d'autres informations sur votre environnement.
10,61 Une institution financière doit s'assurer que les systèmes critiques ne fonctionnent pas sur des systèmes obsolètes présentant des failles de sécurité connues ou des systèmes technologiques end-of-life (EOL). À cet égard, une institution financière doit clairement attribuer des responsabilités aux fonctions définies : (a) surveiller en permanence et mettre en œuvre les dernières versions de correctifs en temps opportun ; et (b) identifier les systèmes technologiques critiques qui devraient faire l'EOLobjet de nouvelles mesures correctives.

ec2- -check managedinstance-association-compliance-status

 Utilisez AWS les associations de Systems Manager pour vous aider à inventorier les plateformes logicielles et les applications au sein d'une organisation. AWS Systems Manager attribue un état de configuration à vos instances gérées et vous permet de définir des niveaux de référence pour les niveaux de correctifs du système d'exploitation, les installations de logiciels, les configurations d'applications et d'autres informations relatives à votre environnement.
10,61 Une institution financière doit s'assurer que les systèmes critiques ne fonctionnent pas sur des systèmes obsolètes présentant des failles de sécurité connues ou des systèmes technologiques end-of-life (EOL). À cet égard, une institution financière doit clairement attribuer des responsabilités aux fonctions définies : (a) surveiller en permanence et mettre en œuvre les dernières versions de correctifs en temps opportun ; et (b) identifier les systèmes technologiques critiques qui devraient faire l'EOLobjet de nouvelles mesures correctives.

ec2- -check managedinstance-patch-compliance-status

 Activez cette règle pour faciliter l'identification et la documentation des vulnérabilités d'Amazon Elastic Compute Cloud (AmazonEC2). La règle vérifie si les correctifs d'EC2instance Amazon sont conformes dans AWS Systems Manager conformément aux politiques et procédures de votre entreprise.
10,61 Une institution financière doit s'assurer que les systèmes critiques ne fonctionnent pas sur des systèmes obsolètes présentant des failles de sécurité connues ou des systèmes technologiques end-of-life (EOL). À cet égard, une institution financière doit clairement attribuer des responsabilités aux fonctions définies : (a) surveiller en permanence et mettre en œuvre les dernières versions de correctifs en temps opportun ; et (b) identifier les systèmes technologiques critiques qui devraient faire l'EOLobjet de nouvelles mesures correctives.

elastic-beanstalk-managed-updates-activé

 L'activation des mises à jour de plateforme gérées pour un environnement Amazon Elastic Beanstalk garantit l'installation des derniers correctifs, mises à jour et fonctionnalités de la plateforme disponibles pour l'environnement. La sécurisation des systèmes passe par la mise à jour de l'installation des correctifs.
10,61 Une institution financière doit s'assurer que les systèmes critiques ne fonctionnent pas sur des systèmes obsolètes présentant des failles de sécurité connues ou des systèmes technologiques end-of-life (EOL). À cet égard, une institution financière doit clairement attribuer des responsabilités aux fonctions définies : (a) surveiller en permanence et mettre en œuvre les dernières versions de correctifs en temps opportun ; et (b) identifier les systèmes technologiques critiques qui devraient faire l'EOLobjet de nouvelles mesures correctives.

redshift-cluster-maintenancesettings-check

 Cette règle garantit que les clusters Amazon Redshift disposent des paramètres préférés de votre organisation. Plus précisément, qu'ils disposent de fenêtres de maintenance préférées et de périodes de conservation des instantanés automatisées pour la base de données. Cette règle vous oblige à définir le allowVersionUpgrade. Par défaut, la valeur est true. Il vous permet également de définir éventuellement le preferredMaintenanceWindow (la valeur par défaut est samedi : 16h00 - samedi : 16h30) et la automatedSnapshotRetention période (la valeur par défaut est 1). Les valeurs réelles doivent refléter les politiques de votre organisation.
10.64(a) Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (a) la confidentialité et l'intégrité des informations, ainsi que des transactions des clients et des contreparties

alb-http-to-https-vérification de redirection

 Pour protéger les données en transit, assurez-vous que votre Application Load Balancer redirige automatiquement les demandes non HTTP chiffrées vers. HTTPS Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
10.64(a) Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (a) la confidentialité et l'intégrité des informations, ainsi que des transactions des clients et des contreparties

api-gw-cache-enabledet crypté

 Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour le cache de votre stage API Gateway. Étant donné que des données sensibles peuvent être capturées pour API cette méthode, activez le chiffrement au repos pour protéger ces données.
10.64(a) Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (a) la confidentialité et l'intégrité des informations, ainsi que des transactions des clients et des contreparties

api-gw-ssl-enabled

 Assurez-vous que REST API les étapes Amazon API Gateway sont configurées avec SSL des certificats afin de permettre aux systèmes principaux d'authentifier que les demandes proviennent de API Gateway.
10.64(a) Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (a) la confidentialité et l'intégrité des informations, ainsi que des transactions des clients et des contreparties

backup-recovery-point-encrypted

 Assurez-vous que le chiffrement est activé pour vos points AWS de restauration Backup. Comme il peut y avoir des données sensibles au repos, activez le chiffrement au repos pour protéger ces données.
10.64(a) Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (a) la confidentialité et l'intégrité des informations, ainsi que des transactions des clients et des contreparties

cloudtrail-security-trail-enabled

 Cette règle permet de garantir l'utilisation des meilleures pratiques de sécurité AWS recommandées pour AWS CloudTrail, en vérifiant l'activation de plusieurs paramètres. Il s'agit notamment de l'utilisation du chiffrement des journaux, de la validation des journaux et de AWS CloudTrail l'activation dans plusieurs régions.
10.64(a) Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (a) la confidentialité et l'intégrité des informations, ainsi que des transactions des clients et des contreparties

cloudwatch-log-group-encrypted

 Pour protéger les données sensibles au repos, assurez-vous que le chiffrement est activé pour vos Amazon CloudWatch Log Groups.
10.64(a) Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (a) la confidentialité et l'intégrité des informations, ainsi que des transactions des clients et des contreparties

dynamodb-table-encrypted-kms

 Assurez-vous que le chiffrement est activé pour vos tables Amazon DynamoDB. Comme il peut y avoir des données sensibles au repos dans ces tables, activez le chiffrement au repos pour protéger ces données. Par défaut, les tables DynamoDB sont chiffrées à l'aide AWS d'une clé principale propre au client (). CMK
10.64(a) Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (a) la confidentialité et l'intégrité des informations, ainsi que des transactions des clients et des contreparties

ec2- ebs-encryption-by-default

 Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (AmazonEBS). Comme il peut y avoir des données sensibles au repos dans ces volumes, activez le chiffrement au repos pour protéger ces données.
10.64(a) Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (a) la confidentialité et l'intégrité des informations, ainsi que des transactions des clients et des contreparties

efs-encrypted-check

 Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour votre Amazon Elastic File System (EFS).
10.64(a) Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (a) la confidentialité et l'intégrité des informations, ainsi que des transactions des clients et des contreparties

elbv2- acm-certificate-required

 Comme il peut y avoir des données sensibles et pour protéger les données en transit, assurez-vous que le chiffrement est activé pour votre Elastic Load Balancing. Utilisez AWS Certificate Manager pour gérer, approvisionner et déployer des TLS certificats publics et SSL privés avec des AWS services et des ressources internes.
10.64(a) Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (a) la confidentialité et l'intégrité des informations, ainsi que des transactions des clients et des contreparties

encrypted-volumes

 Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (AmazonEBS).
10.64(a) Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (a) la confidentialité et l'intégrité des informations, ainsi que des transactions des clients et des contreparties

opensearch-encrypted-at-rest

 Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos domaines Amazon OpenSearch Service.
10.64(a) Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (a) la confidentialité et l'intégrité des informations, ainsi que des transactions des clients et des contreparties

opensearch-https-required

 Étant donné que des données sensibles peuvent exister et pour protéger les données en transit, assurez-vous HTTPS que les connexions à vos domaines Amazon OpenSearch Service sont activées.
10.64(a) Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (a) la confidentialité et l'intégrité des informations, ainsi que des transactions des clients et des contreparties

opensearch-node-to-node-vérification du chiffrement

 Assurez-vous que node-to-node le chiffrement pour Amazon OpenSearch Service est activé. Node-to-nodele chiffrement permet le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (AmazonVPC). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
10.64(a) Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (a) la confidentialité et l'intégrité des informations, ainsi que des transactions des clients et des contreparties

rds-snapshot-encrypted

 Assurez-vous que le chiffrement est activé pour vos instantanés Amazon Relational Database Service (RDSAmazon). Comme il peut y avoir des données sensibles au repos, activez le chiffrement au repos pour protéger ces données.
10.64(a) Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (a) la confidentialité et l'intégrité des informations, ainsi que des transactions des clients et des contreparties

rds-storage-encrypted

 Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos instances Amazon Relational Database Service (RDSAmazon). Étant donné que des données sensibles peuvent exister au repos dans RDS les instances Amazon, activez le chiffrement au repos pour protéger ces données.
10.64(a) Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (a) la confidentialité et l'intégrité des informations, ainsi que des transactions des clients et des contreparties

redshift-cluster-configuration-check

 Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default :TRUE) et loggingEnabled (Config Default :TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation.
10.64(a) Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (a) la confidentialité et l'intégrité des informations, ainsi que des transactions des clients et des contreparties

redshift-cluster-kms-enabled

 Pour protéger les données au repos, assurez-vous que le chiffrement avec AWS Key Management Service (AWS KMS) est activé pour votre cluster Amazon Redshift. Comme il peut y avoir des données sensibles au repos dans les clusters Redshift, activez le chiffrement au repos pour protéger ces données.
10.64(a) Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (a) la confidentialité et l'intégrité des informations, ainsi que des transactions des clients et des contreparties

redshift-require-tls-ssl

 Assurez-vous que vos clusters Amazon Redshift nécessitent un SSL chiffrement TLS pour se connecter aux SQL clients. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
10.64(a) Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (a) la confidentialité et l'intégrité des informations, ainsi que des transactions des clients et des contreparties

compatible avec bucket-server-side-encryption s3

 Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans les compartiments Amazon S3, activez le chiffrement pour protéger ces données.
10.64(a) Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (a) la confidentialité et l'intégrité des informations, ainsi que des transactions des clients et des contreparties

s3- bucket-ssl-requests-only

 Pour protéger les données en transit, assurez-vous que vos compartiments Amazon Simple Storage Service (Amazon S3) nécessitent des demandes d'utilisation du protocole Secure Socket Layer (). SSL Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
10.64(a) Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (a) la confidentialité et l'intégrité des informations, ainsi que des transactions des clients et des contreparties

sagemaker-endpoint-configuration-kms-configuré par clé

 Pour protéger les données au repos, assurez-vous que le chiffrement avec AWS Key Management Service (AWS KMS) est activé pour votre SageMaker terminal. Étant donné que les données sensibles peuvent exister au repos sur le SageMaker terminal, activez le chiffrement au repos pour protéger ces données.
10.64(a) Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (a) la confidentialité et l'intégrité des informations, ainsi que des transactions des clients et des contreparties

sagemaker-notebook-instance-kms-configuré par clé

 Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWS KMS) est activé pour votre SageMaker ordinateur portable. Étant donné que des données sensibles peuvent exister au repos dans le SageMaker bloc-notes, activez le chiffrement au repos pour protéger ces données.
10.64(a) Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (a) la confidentialité et l'intégrité des informations, ainsi que des transactions des clients et des contreparties

secretsmanager-using-cmk

 Pour protéger les données au repos, assurez-vous que le chiffrement avec AWS Key Management Service (AWS KMS) est activé pour les AWS secrets de Secrets Manager. Comme il peut y avoir des données sensibles au repos dans les secrets de Secrets Manager, activez le chiffrement au repos pour protéger ces données.
10.64(a) Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (a) la confidentialité et l'intégrité des informations, ainsi que des transactions des clients et des contreparties

sns-encrypted-kms

 Pour protéger les données au repos, assurez-vous que vos rubriques Amazon Simple Notification Service (AmazonSNS) nécessitent un chiffrement à l'aide du AWS Key Management Service (AWS KMS). Comme il peut y avoir des données sensibles au repos dans les messages publiés, activez le chiffrement au repos pour protéger ces données.
10.64(b) Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (b) la fiabilité des services fournis par les canaux et les appareils avec un minimum d'interruption des services

dynamodb-autoscaling-enabled

 Amazon DynamoDB Auto Scaling AWS utilise le service Application Auto Scaling pour ajuster la capacité de débit allouée afin de répondre automatiquement aux modèles de trafic réels. Cela permet à une table ou à un index secondaire global d'augmenter sa capacité de lecture/d'écriture approvisionnée afin de gérer les hausses soudaines de trafic sans limitation.
10.64(b) Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (b) la fiabilité des services fournis par les canaux et les appareils avec un minimum d'interruption des services

ec2-stopped-instance

 Activez cette règle pour faciliter la configuration de base des instances Amazon Elastic Compute Cloud (AmazonEC2) en vérifiant si les EC2 instances Amazon ont été arrêtées pendant plus de jours que le nombre de jours autorisé, conformément aux normes de votre organisation.
10.64(b) Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (b) la fiabilité des services fournis par les canaux et les appareils avec un minimum d'interruption des services

elb-deletion-protection-enabled

 Cette règle garantit que la protection contre la suppression est activée pour Elastic Load Balancing. Utilisez cette fonctionnalité pour empêcher la suppression accidentelle ou malveillante de votre équilibreur de charge, ce qui pourrait entraîner une perte de disponibilité pour vos applications.
10.64(b) Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (b) la fiabilité des services fournis par les canaux et les appareils avec un minimum d'interruption des services

nlb-cross-zone-load-activé pour l'équilibrage

 Activez l'équilibrage de charge entre zones pour vos NetworkLoad équilibreurs (NLBs) afin de maintenir une capacité et une disponibilité adéquates. L'équilibrage de charge entre zones réduit la nécessité de maintenir un nombre équivalent d'instances dans chaque zone de disponibilité activée. Cela améliore également la capacité de votre application à gérer la perte d'une ou de plusieurs instances.
10.64(b) Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (b) la fiabilité des services fournis par les canaux et les appareils avec un minimum d'interruption des services

rds-instance-deletion-protection-activé

 Assurez-vous que la protection contre les suppressions est activée sur les instances RDS Amazon Relational Database Service (Amazon). Utilisez la protection contre la suppression pour éviter que vos RDS instances Amazon ne soient supprimées accidentellement ou de manière malveillante, ce qui pourrait entraîner une perte de disponibilité pour vos applications.
10.64(b) Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (b) la fiabilité des services fournis par les canaux et les appareils avec un minimum d'interruption des services

rds-multi-az-support

 Le support multi-AZ d'Amazon Relational Database Service (RDSAmazon) améliore la disponibilité et la durabilité des instances de base de données. Lorsque vous mettez en service une instance de base de données multi-AZ, Amazon crée RDS automatiquement une instance de base de données principale et réplique les données de manière synchrone sur une instance de secours située dans une autre zone de disponibilité. Chaque zone de disponibilité fonctionne sur sa propre infrastructure physiquement distincte et indépendante, et est conçue pour être hautement fiable. En cas de défaillance de l'infrastructure, Amazon RDS effectue un basculement automatique vers le mode veille afin que vous puissiez reprendre les opérations de base de données dès que le basculement est terminé.
10.64(b) Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (b) la fiabilité des services fournis par les canaux et les appareils avec un minimum d'interruption des services

rds-cluster-multi-az-activé

 Le support multi-AZ d'Amazon Relational Database Service (RDSAmazon) améliore la disponibilité et la durabilité des instances de base de données. Lorsque vous mettez en service une instance de base de données multi-AZ, Amazon crée RDS automatiquement une instance de base de données principale et réplique les données de manière synchrone sur une instance de secours située dans une autre zone de disponibilité. Chaque zone de disponibilité fonctionne sur sa propre infrastructure physiquement distincte et indépendante, et est conçue pour être hautement fiable. En cas de défaillance de l'infrastructure, Amazon RDS effectue un basculement automatique vers le mode veille afin que vous puissiez reprendre les opérations de base de données dès que le basculement est terminé.
10.64(b) Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (b) la fiabilité des services fournis par les canaux et les appareils avec un minimum d'interruption des services

vpc-vpn-2-tunnels-up

 Site-to-SiteVPNDes tunnels redondants peuvent être mis en œuvre pour répondre aux exigences de résilience. Il utilise deux tunnels pour garantir la connectivité au cas où l'une des Site-to-Site VPN connexions deviendrait indisponible. Pour éviter toute perte de connectivité, au cas où votre passerelle client deviendrait indisponible, vous pouvez configurer une deuxième Site-to-Site VPN connexion à votre Amazon Virtual Private Cloud (AmazonVPC) et à votre passerelle privée virtuelle en utilisant une deuxième passerelle client.
10.64(d) Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (d) une piste d'audit suffisante et une surveillance des transactions anormales

api-gw-execution-logging-activé

 APILa journalisation de la passerelle affiche des vues détaillées API des utilisateurs qui ont accédé auAPI. Ces informations offrent une visibilité sur les activités des utilisateurs.
10.64(d) Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (d) une piste d'audit suffisante et une surveillance des transactions anormales

autoscaling-group-elb-healthcheck-obligatoire

 Les bilans de santé d'Elastic Load Balancer (ELB) pour les groupes Amazon Elastic Compute Cloud (AmazonEC2) Auto Scaling permettent de maintenir une capacité et une disponibilité adéquates. L'équilibreur de charge envoie régulièrement des pings, tente de se connecter ou envoie des demandes pour tester l'état des EC2 instances Amazon dans un groupe d'auto-scaling. Si une instance ne produit pas de rapport, le trafic est envoyé vers une nouvelle EC2 instance Amazon.
10.64(d) Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (d) une piste d'audit suffisante et une surveillance des transactions anormales

cloudtrail-s3-dataevents-enabled

 La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les Compte AWS informations qui ont accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement.
10.64(d) Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (d) une piste d'audit suffisante et une surveillance des transactions anormales

cloudtrail-security-trail-enabled

 Cette règle permet de garantir l'utilisation des meilleures pratiques de sécurité AWS recommandées pour AWS CloudTrail, en vérifiant l'activation de plusieurs paramètres. Il s'agit notamment de l'utilisation du chiffrement des journaux, de la validation des journaux et de AWS CloudTrail l'activation dans plusieurs régions.
10.64(d) Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (d) une piste d'audit suffisante et une surveillance des transactions anormales

cloudwatch-alarm-action-check

 Amazon CloudWatch émet une alerte lorsqu'un indicateur dépasse le seuil pour un certain nombre de périodes d'évaluation. L’alarme réalise une ou plusieurs actions en fonction de la valeur de la métrique ou de l’expression par rapport à un seuil sur un certain nombre de périodes. Cette règle nécessite une valeur pour alarmActionRequired (Config Default : True), insufficientDataAction Required (Config Default : True), okActionRequired (Config Default : False). La valeur réelle doit refléter les actions d'alarme de votre environnement.
10.64(d) Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (d) une piste d'audit suffisante et une surveillance des transactions anormales

cloud-trail-cloud-watch-activé pour les journaux

 Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des détails sur l'activité des API appels au sein de votre Compte AWS.
10.64(d) Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (d) une piste d'audit suffisante et une surveillance des transactions anormales

dynamodb-throughput-limit-check

 Activez cette règle pour vous assurer que la capacité de débit allouée est vérifiée sur vos tables Amazon DynamoDB. Il s'agit du volume d'activité de lecture/d'écriture que chaque table peut prendre en charge. DynamoDB utilise ces informations pour réserver des ressources système suffisantes pour répondre à vos exigences de débit. Cette règle génère une alerte lorsque le débit approche de la limite maximale pour le compte d'un client. Cette règle vous permet de définir éventuellement les paramètres accountRCUThreshold Pourcentage (Config Default : 80) et accountWCUThreshold Pourcentage (Config Default : 80). Les valeurs réelles doivent refléter les politiques de votre organisation.
10.64(d) Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (d) une piste d'audit suffisante et une surveillance des transactions anormales

ec2- instance-detailed-monitoring-enabled

 Activez cette règle pour améliorer la surveillance des instances Amazon Elastic Compute Cloud (AmazonEC2) sur la EC2 console Amazon, qui affiche des graphiques de surveillance avec une période d'une minute pour l'instance.
10.64(d) Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (d) une piste d'audit suffisante et une surveillance des transactions anormales

elb-logging-enabled

 L'activité Elastic Load Balancing est un point de communication central au sein d'un environnement. Assurez-vous que la ELB journalisation est activée. Les données collectées fournissent des informations détaillées sur les demandes envoyées auELB. Chaque journal contient des informations comme l'heure à laquelle la demande a été reçue, l'adresse IP du client, les latences, les chemins de demande et les réponses du serveur.
10.64(d) Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (d) une piste d'audit suffisante et une surveillance des transactions anormales

guardduty-enabled-centralized

 Amazon GuardDuty peut aider à surveiller et à détecter les événements de cybersécurité potentiels en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes de programmes malveillants IPs et d'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud.
10.64(d) Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (d) une piste d'audit suffisante et une surveillance des transactions anormales

opensearch-logs-to-cloudwatch

 Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. OpenSearch Les journaux des erreurs de service peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité.
10.64(d) Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (d) une piste d'audit suffisante et une surveillance des transactions anormales

rds-enhanced-monitoring-enabled

 Activez Amazon Relational Database Service (RDSAmazon) pour surveiller la disponibilité d'RDSAmazon. Cela fournit une visibilité détaillée sur l'état de vos instances de RDS base de données Amazon. Lorsque le RDS stockage Amazon utilise plusieurs appareils physiques sous-jacents, Enhanced Monitoring collecte les données pour chaque appareil. En outre, lorsque l'instance RDS de base de données Amazon est exécutée dans le cadre d'un déploiement multi-AZ, les données de chaque appareil sur l'hôte secondaire sont collectées, ainsi que les métriques de l'hôte secondaire.
10.64(d) Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (d) une piste d'audit suffisante et une surveillance des transactions anormales

rds-logging-enabled

 Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (RDSAmazon) est activée. Avec Amazon RDS Logging, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées.
10.64(d) Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (d) une piste d'audit suffisante et une surveillance des transactions anormales

redshift-cluster-configuration-check

 Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default :TRUE) et loggingEnabled (Config Default :TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation.
10.64(d) Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (d) une piste d'audit suffisante et une surveillance des transactions anormales

s3- bucket-logging-enabled

 La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant.
10.64(d) Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (d) une piste d'audit suffisante et une surveillance des transactions anormales

securityhub-enabled

 AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi AWS que des solutions partenaires.
10.64(d) Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (d) une piste d'audit suffisante et une surveillance des transactions anormales

vpc-flow-logs-enabled

 Les journaux de VPC flux fournissent des enregistrements détaillés contenant des informations sur le trafic IP à destination et en provenance des interfaces réseau de votre Amazon Virtual Private Cloud (AmazonVPC). Par défaut, le journal de flux inclut des valeurs pour les différents composants du flux IP, y compris la source, la destination et le protocole.
10.64(d) Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (d) une piste d'audit suffisante et une surveillance des transactions anormales

wafv2-logging-enabled

 Pour faciliter la journalisation et la surveillance au sein de votre environnement, activez la journalisation AWS WAF (V2) sur le Web régional et mondialACLs. AWS WAFla journalisation fournit des informations détaillées sur le trafic analysé par votre site WebACL. Les journaux enregistrent l'heure à laquelle la demande AWS WAF a été reçue de votre AWS ressource, les informations relatives à la demande et une action pour la règle à laquelle chaque demande correspond.
10.64(e) Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (e) la capacité d'identifier et de revenir au point de récupération avant un incident ou une interruption de service

aurora-resources-protected-by-plan de sauvegarde

 Pour faciliter les processus de sauvegarde des données, assurez-vous que vos ressources Amazon Aurora font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
10.64(e) Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (e) la capacité d'identifier et de revenir au point de récupération avant un incident ou une interruption de service

db-instance-backup-enabled

 La fonction de sauvegarde d'Amazon RDS crée des sauvegardes de vos bases de données et de vos journaux de transactions. Amazon crée RDS automatiquement un instantané du volume de stockage de votre instance de base de données, en sauvegardant l'intégralité de l'instance de base de données. Le système vous permet de définir des périodes de conservation spécifiques pour répondre à vos exigences de résilience.
10.64(e) Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (e) la capacité d'identifier et de revenir au point de récupération avant un incident ou une interruption de service

dynamodb-pitr-enabled

 Activez cette règle pour vérifier que les informations ont été sauvegardées. Il gère également les sauvegardes en s'assurant que la point-in-time restauration est activée dans Amazon DynamoDB. La récupération permet de maintenir des sauvegardes continues de votre table pour les 35 derniers jours.
10.64(e) Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (e) la capacité d'identifier et de revenir au point de récupération avant un incident ou une interruption de service

dynamodb-resources-protected-by-plan de sauvegarde

 Pour faciliter les processus de sauvegarde des données, assurez-vous que vos ressources Amazon DynamoDB font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
10.64(e) Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (e) la capacité d'identifier et de revenir au point de récupération avant un incident ou une interruption de service

ebs-optimized-instance

 Une instance optimisée dans Amazon Elastic Block Store (AmazonEBS) fournit une capacité dédiée supplémentaire pour les opérations d'EBSE/S Amazon. Cette optimisation fournit les performances les plus efficaces pour vos EBS volumes en minimisant les conflits entre les opérations d'EBSE/S Amazon et le reste du trafic provenant de votre instance.
10.64(e) Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (e) la capacité d'identifier et de revenir au point de récupération avant un incident ou une interruption de service

ebs-resources-protected-by-plan de sauvegarde

 Pour faciliter les processus de sauvegarde des données, assurez-vous que vos ressources Amazon Elastic Block Store (AmazonEBS) font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
10.64(e) Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (e) la capacité d'identifier et de revenir au point de récupération avant un incident ou une interruption de service

plan ec2 resources-protected-by-backup

 Pour faciliter les processus de sauvegarde des données, assurez-vous que vos ressources Amazon Elastic Compute Cloud (AmazonEC2) font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
10.64(e) Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (e) la capacité d'identifier et de revenir au point de récupération avant un incident ou une interruption de service

efs-resources-protected-by-plan de sauvegarde

 Pour faciliter les processus de sauvegarde des données, assurez-vous que vos systèmes de fichiers Amazon Elastic File System (AmazonEFS) font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
10.64(e) Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (e) la capacité d'identifier et de revenir au point de récupération avant un incident ou une interruption de service

elasticache-redis-cluster-automatic-vérification des sauvegardes

 Lorsque les sauvegardes automatiques sont activées, Amazon ElastiCache crée une sauvegarde du cluster quotidiennement. La sauvegarde peut être conservée pendant un nombre de jours défini par votre organisation. Les sauvegardes automatiques peuvent constituer une protection contre la perte de données. En cas de défaillance, vous pouvez créer un nouveau cluster, ce qui restaurera vos données à partir de la sauvegarde la plus récente.
10.64(e) Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (e) la capacité d'identifier et de revenir au point de récupération avant un incident ou une interruption de service

rds-resources-protected-by-plan de sauvegarde

 Pour faciliter les processus de sauvegarde des données, assurez-vous que vos ressources Amazon Relational Database Service (RDSAmazon) font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
10.64(e) Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (e) la capacité d'identifier et de revenir au point de récupération avant un incident ou une interruption de service

redshift-backup-enabled

 Pour faciliter les processus de sauvegarde des données, assurez-vous que vos clusters Amazon Redshift disposent d'instantanés automatisés. Lorsque les instantanés automatiques sont activés pour un cluster, Redshift prend régulièrement des instantanés de ce cluster. Par défaut, Redshift prend un instantané toutes les huit heures ou tous les 5 Go pour chaque nœud de modification des données, ou selon la première éventualité.
10.64(e) Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (e) la capacité d'identifier et de revenir au point de récupération avant un incident ou une interruption de service

s3- bucket-versioning-enabled

 La gestion des versions d'un compartiment Amazon Simple Storage Service (Amazon S3) permet de conserver plusieurs variantes d'un objet dans le même compartiment Amazon S3. Utilisez la gestion des versions pour préserver, récupérer et restaurer chaque version de chaque objet stocké dans votre compartiment Amazon S3. La gestion des versions vous aide à récupérer facilement en cas d'action involontaire d'un utilisateur et de défaillance applicative.
10.64(e) Une institution financière doit mettre en œuvre des contrôles de sécurité technologiques robustes pour fournir des services numériques qui garantissent ce qui suit : (e) la capacité d'identifier et de revenir au point de récupération avant un incident ou une interruption de service

plan resources-protected-by-backup s3

 Pour faciliter les processus de sauvegarde des données, assurez-vous que vos compartiments Amazon Simple Storage Service (S3) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
11.7 Une institution financière doit déployer des outils efficaces pour prendre en charge la surveillance continue et proactive, ainsi que la détection rapide des activités anormales dans son infrastructure technologique. La portée de la surveillance doit couvrir tous les systèmes critiques, y compris l'infrastructure annexe.

guardduty-enabled-centralized

 Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes de programmes malveillants IPs et d'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud.
11.7 Une institution financière doit déployer des outils efficaces pour prendre en charge la surveillance continue et proactive, ainsi que la détection rapide des activités anormales dans son infrastructure technologique. La portée de la surveillance doit couvrir tous les systèmes critiques, y compris l'infrastructure annexe.

securityhub-enabled

 AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi AWS que des solutions partenaires.
11.8 Une institution financière doit veiller à ce que ses opérations de cybersécurité préviennent et détectent en permanence toute violation potentielle de ses contrôles de sécurité ou tout affaiblissement de sa posture de sécurité. Les grandes institutions financières doivent notamment réaliser une évaluation trimestrielle des vulnérabilités des composants réseau externes et internes qui prennent en charge tous les systèmes critiques.

guardduty-enabled-centralized

 Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes de programmes malveillants IPs et d'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud.
11.8 Une institution financière doit veiller à ce que ses opérations de cybersécurité préviennent et détectent en permanence toute violation potentielle de ses contrôles de sécurité ou tout affaiblissement de sa posture de sécurité. Les grandes institutions financières doivent notamment réaliser une évaluation trimestrielle des vulnérabilités des composants réseau externes et internes qui prennent en charge tous les systèmes critiques.

securityhub-enabled

 AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi AWS que des solutions partenaires.
11.18(c)(f) Ils SOC doivent être en mesure d'exécuter les fonctions suivantes : (c) gestion des vulnérabilités ; (f) fourniture d'une connaissance de la situation pour détecter les adversaires et les menaces, y compris l'analyse et les opérations de renseignement sur les menaces, et le suivi des indicateurs de compromission ()IOC. Cette démarche inclut une analyse comportementale avancée pour détecter les logiciels malveillants sans signature et sans fichier et pour identifier les anomalies susceptibles de constituer des menaces de sécurité, notamment au niveau des points de terminaison et des couches réseau.

guardduty-enabled-centralized

 Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes de programmes malveillants IPs et d'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud.
11.18(c)(f) Ils SOC doivent être en mesure d'exécuter les fonctions suivantes : (c) gestion des vulnérabilités ; (f) fourniture d'une connaissance de la situation pour détecter les adversaires et les menaces, y compris l'analyse et les opérations de renseignement sur les menaces, et le suivi des indicateurs de compromission ()IOC. Cette démarche inclut une analyse comportementale avancée pour détecter les logiciels malveillants sans signature et sans fichier et pour identifier les anomalies susceptibles de constituer des menaces de sécurité, notamment au niveau des points de terminaison et des couches réseau.

guardduty-non-archived-findings

 Amazon vous GuardDuty aide à comprendre l'impact d'un incident en classant les résultats par gravité : faible, moyenne et élevée. Vous pouvez utiliser ces classifications pour déterminer les stratégies et les priorités de correction. Cette règle vous permet de définir éventuellement daysLowSev (Config Default : 30), daysMediumSev (Config Default : 7) et daysHighSev (Config Default : 1) pour les résultats non archivés, comme l'exigent les politiques de votre organisation.
11.18(c)(f) Ils SOC doivent être en mesure d'exécuter les fonctions suivantes : (c) gestion des vulnérabilités ; (f) fourniture d'une connaissance de la situation pour détecter les adversaires et les menaces, y compris l'analyse et les opérations de renseignement sur les menaces, et le suivi des indicateurs de compromission ()IOC. Cette démarche inclut une analyse comportementale avancée pour détecter les logiciels malveillants sans signature et sans fichier et pour identifier les anomalies susceptibles de constituer des menaces de sécurité, notamment au niveau des points de terminaison et des couches réseau.

securityhub-enabled

 AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi AWS que des solutions partenaires.
Annexe 5.1 Révisez régulièrement les paramètres de configuration et de règles de tous les dispositifs de sécurité. Utilisez des outils automatisés pour examiner et surveiller les modifications apportées aux paramètres de configuration et de règles.

guardduty-enabled-centralized

 Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes de programmes malveillants IPs et d'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud.
Annexe 5.1 Révisez régulièrement les paramètres de configuration et de règles de tous les dispositifs de sécurité. Utilisez des outils automatisés pour examiner et surveiller les modifications apportées aux paramètres de configuration et de règles.

securityhub-enabled

 AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi AWS que des solutions partenaires.
Annexe 5.5(b) Assurez-vous que les contrôles de sécurité pour les connexions réseau server-to-server externes incluent les éléments suivants : (b) utilisation de tunnels sécurisés tels que Transport Layer Security (TLS) et Virtual Private Network (VPN) IPSec

alb-http-to-https-vérification de redirection

 Pour protéger les données en transit, assurez-vous que votre Application Load Balancer redirige automatiquement les demandes non HTTP chiffrées vers. HTTPS Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
Annexe 5.5(b) Assurez-vous que les contrôles de sécurité pour les connexions réseau server-to-server externes incluent les éléments suivants : (b) utilisation de tunnels sécurisés tels que Transport Layer Security (TLS) et Virtual Private Network (VPN) IPSec

api-gw-ssl-enabled

 Assurez-vous que REST API les étapes Amazon API Gateway sont configurées avec SSL des certificats afin de permettre aux systèmes principaux d'authentifier que les demandes proviennent de API Gateway.
Annexe 5.5(b) Assurez-vous que les contrôles de sécurité pour les connexions réseau server-to-server externes incluent les éléments suivants : (b) utilisation de tunnels sécurisés tels que Transport Layer Security (TLS) et Virtual Private Network (VPN) IPSec

opensearch-https-required

 Étant donné que des données sensibles peuvent exister et pour protéger les données en transit, assurez-vous HTTPS que les connexions à vos domaines Amazon OpenSearch Service sont activées.
Annexe 5.5(b) Assurez-vous que les contrôles de sécurité pour les connexions réseau server-to-server externes incluent les éléments suivants : (b) utilisation de tunnels sécurisés tels que Transport Layer Security (TLS) et Virtual Private Network (VPN) IPSec

opensearch-node-to-node-vérification du chiffrement

 Assurez-vous que node-to-node le chiffrement pour Amazon OpenSearch Service est activé. Node-to-nodele chiffrement permet le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (AmazonVPC). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
Annexe 5.5(b) Assurez-vous que les contrôles de sécurité pour les connexions réseau server-to-server externes incluent les éléments suivants : (b) utilisation de tunnels sécurisés tels que Transport Layer Security (TLS) et Virtual Private Network (VPN) IPSec

redshift-require-tls-ssl

 Assurez-vous que vos clusters Amazon Redshift nécessitent un SSL chiffrement TLS pour se connecter aux SQL clients. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
Annexe 5.5(b) Assurez-vous que les contrôles de sécurité pour les connexions réseau server-to-server externes incluent les éléments suivants : (b) utilisation de tunnels sécurisés tels que Transport Layer Security (TLS) et Virtual Private Network (VPN) IPSec

s3- bucket-ssl-requests-only

 Pour protéger les données en transit, assurez-vous que vos compartiments Amazon Simple Storage Service (Amazon S3) nécessitent des demandes d'utilisation du protocole Secure Socket Layer (). SSL Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
Annexe 5.5(c) Assurez-vous que les contrôles de sécurité pour les connexions réseau server-to-server externes incluent les éléments suivants : (c) déploiement de serveurs intermédiaires dotés de défenses périmétriques et de protections adéquates, telles qu'un pare-feu IPS et un antivirus.

guardduty-enabled-centralized

 Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes de programmes malveillants IPs et d'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud.
Annexe 5.5(c) Assurez-vous que les contrôles de sécurité pour les connexions réseau server-to-server externes incluent les éléments suivants : (c) déploiement de serveurs intermédiaires dotés de défenses périmétriques et de protections adéquates, telles qu'un pare-feu IPS et un antivirus.

vpc-default-security-group-fermé

 Les groupes de sécurité Amazon Elastic Compute Cloud (AmazonEC2) peuvent contribuer à la gestion de l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS La restriction de tout le trafic sur le groupe de sécurité par défaut permet de restreindre l'accès à distance à vos AWS ressources.
Annexe 5.5(c) Assurez-vous que les contrôles de sécurité pour les connexions réseau server-to-server externes incluent les éléments suivants : (c) déploiement de serveurs intermédiaires dotés de défenses périmétriques et de protections adéquates, telles qu'un pare-feu IPS et un antivirus.

vpc-sg-open-only-to-authorized-ports

 Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (AmazonEC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. En limitant l'accès aux ressources d'un groupe de sécurité depuis Internet (0.0.0.0/0), il est possible de contrôler l'accès à distance aux systèmes internes.
Annexe 5.6 Assurez-vous que les contrôles de sécurité pour l'accès à distance au serveur incluent les éléments suivants : (a) restreindre l'accès aux seuls terminaux sécurisés et verrouillés ; (b) utiliser des tunnels sécurisés tels que TLS et VPN IPSec ; (c) déployer un serveur « passerelle » doté de défenses périmétriques adéquates et d'une protection telle qu'un pare-feu et un antivirus ; IPS et (d) fermer les ports concernés immédiatement après l'expiration de l'accès à distance.

alb-http-to-https-vérification de redirection

 Pour protéger les données en transit, assurez-vous que votre Application Load Balancer redirige automatiquement les demandes non HTTP chiffrées vers. HTTPS Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
Annexe 5.6 Assurez-vous que les contrôles de sécurité pour l'accès à distance au serveur incluent les éléments suivants : (a) restreindre l'accès aux seuls terminaux sécurisés et verrouillés ; (b) utiliser des tunnels sécurisés tels que TLS et VPN IPSec ; (c) déployer un serveur « passerelle » doté de défenses périmétriques adéquates et d'une protection telle qu'un pare-feu et un antivirus ; IPS et (d) fermer les ports concernés immédiatement après l'expiration de l'accès à distance.

api-gw-ssl-enabled

 Assurez-vous que REST API les étapes Amazon API Gateway sont configurées avec SSL des certificats afin de permettre aux systèmes principaux d'authentifier que les demandes proviennent de API Gateway.
Annexe 5.6 Assurez-vous que les contrôles de sécurité pour l'accès à distance au serveur incluent les éléments suivants : (a) restreindre l'accès aux seuls terminaux sécurisés et verrouillés ; (b) utiliser des tunnels sécurisés tels que TLS et VPN IPSec ; (c) déployer un serveur « passerelle » doté de défenses périmétriques adéquates et d'une protection telle qu'un pare-feu et un antivirus ; IPS et (d) fermer les ports concernés immédiatement après l'expiration de l'accès à distance.

opensearch-https-required

 Étant donné que des données sensibles peuvent exister et pour protéger les données en transit, assurez-vous HTTPS que les connexions à vos domaines Amazon OpenSearch Service sont activées.
Annexe 5.6 Assurez-vous que les contrôles de sécurité pour l'accès à distance au serveur incluent les éléments suivants : (a) restreindre l'accès aux seuls terminaux sécurisés et verrouillés ; (b) utiliser des tunnels sécurisés tels que TLS et VPN IPSec ; (c) déployer un serveur « passerelle » doté de défenses périmétriques adéquates et d'une protection telle qu'un pare-feu et un antivirus ; IPS et (d) fermer les ports concernés immédiatement après l'expiration de l'accès à distance.

redshift-require-tls-ssl

 Assurez-vous que vos clusters Amazon Redshift nécessitent un SSL chiffrement TLS pour se connecter aux SQL clients. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
Annexe 5.6 Assurez-vous que les contrôles de sécurité pour l'accès à distance au serveur incluent les éléments suivants : (a) restreindre l'accès aux seuls terminaux sécurisés et verrouillés ; (b) utiliser des tunnels sécurisés tels que TLS et VPN IPSec ; (c) déployer un serveur « passerelle » doté de défenses périmétriques adéquates et d'une protection telle qu'un pare-feu et un antivirus ; IPS et (d) fermer les ports concernés immédiatement après l'expiration de l'accès à distance.

vpc-default-security-group-fermé

 Les groupes de sécurité Amazon Elastic Compute Cloud (AmazonEC2) peuvent contribuer à la gestion de l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS La restriction de tout le trafic sur le groupe de sécurité par défaut permet de restreindre l'accès à distance à vos AWS ressources.
Annexe 5.6 Assurez-vous que les contrôles de sécurité pour l'accès à distance au serveur incluent les éléments suivants : (a) restreindre l'accès aux seuls terminaux sécurisés et verrouillés ; (b) utiliser des tunnels sécurisés tels que TLS et VPN IPSec ; (c) déployer un serveur « passerelle » doté de défenses périmétriques adéquates et d'une protection telle qu'un pare-feu et un antivirus ; IPS et (d) fermer les ports concernés immédiatement après l'expiration de l'accès à distance.

vpc-sg-open-only-to-authorized-ports

 Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (AmazonEC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. En limitant l'accès aux ressources d'un groupe de sécurité depuis Internet (0.0.0.0/0), il est possible de contrôler l'accès à distance aux systèmes internes.
Annexe 10 Partie B - 1 (a) Une institution financière doit concevoir une architecture cloud robuste et veiller à ce que cette conception soit conforme aux normes internationales pertinentes pour l'application prévue.

account-part-of-organizations

 La gestion centralisée Comptes AWS au sein des AWS Organisations permet de garantir la conformité des comptes. L'absence de gouvernance centralisée des comptes peut entraîner des configurations de comptes incohérentes, ce qui peut exposer des ressources et des données sensibles.
Annexe 10 Partie B - 1 (b) Une institution financière est encouragée à adopter les principes de confiance zéro afin de fournir une architecture cyberrésiliente en adoptant une approche fondée sur le principe de « présomption de violation », en defense-in-depth combinant la microsegmentation, les droits d'accès « » et en procédant à une inspection approfondie et à une validation continue, le cas échéant. deny-by-default

alb-waf-enabled

 Assurez-vous qu' AWS WAFil est activé sur les Elastic Load Balancers (ELB) pour protéger les applications Web. A WAF permet de protéger vos applications Web ou APIs contre les exploits Web courants. Ces attaques Web peuvent affecter la disponibilité, compromettre la sécurité ou consommer des ressources excessives dans votre environnement.
Annexe 10 Partie B - 1 (b) Une institution financière est encouragée à adopter les principes de confiance zéro afin de fournir une architecture cyberrésiliente en adoptant une approche fondée sur le principe de « présomption de violation », en defense-in-depth combinant la microsegmentation, les droits d'accès « » et en procédant à une inspection approfondie et à une validation continue, le cas échéant. deny-by-default

subnet-auto-assign-public-IP désactivé

 Gérez l'accès au AWS cloud en vous assurant que les sous-réseaux Amazon Virtual Private Cloud (VPC) ne se voient pas automatiquement attribuer une adresse IP publique. Les instances Amazon Elastic Compute Cloud (EC2) lancées dans des sous-réseaux sur lesquels cet attribut est activé ont une adresse IP publique attribuée à leur interface réseau principale.
Annexe 10 Partie B - 1 (b) Une institution financière est encouragée à adopter les principes de confiance zéro afin de fournir une architecture cyberrésiliente en adoptant une approche fondée sur le principe de « présomption de violation », en defense-in-depth combinant la microsegmentation, les droits d'accès « » et en procédant à une inspection approfondie et à une validation continue, le cas échéant. deny-by-default

vpc-default-security-group-fermé

 Les groupes de sécurité Amazon Elastic Compute Cloud (AmazonEC2) peuvent contribuer à la gestion de l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS La restriction de tout le trafic sur le groupe de sécurité par défaut permet de restreindre l'accès à distance à vos AWS ressources.
Annexe 10 Partie B - 1 (b) Une institution financière est encouragée à adopter les principes de confiance zéro afin de fournir une architecture cyberrésiliente en adoptant une approche fondée sur le principe de « présomption de violation », en defense-in-depth combinant la microsegmentation, les droits d'accès « » et en procédant à une inspection approfondie et à une validation continue, le cas échéant. deny-by-default

vpc-sg-open-only-to-authorized-ports

 Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (AmazonEC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. En limitant l'accès aux ressources d'un groupe de sécurité depuis Internet (0.0.0.0/0), il est possible de contrôler l'accès à distance aux systèmes internes.
Annexe 10 Partie B - 1 (c) Une institution financière doit utiliser l'approche d'architecture réseau la plus récente ainsi que des concepts et solutions de conception de réseau appropriés pour gérer et surveiller la sécurité granulaire du réseau et la fourniture centralisée du réseau afin de gérer la complexité de l'environnement réseau dans le cloud.

guardduty-enabled-centralized

 Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes de programmes malveillants IPs et d'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud.
Annexe 10 Partie B - 1 (c) Une institution financière doit utiliser l'approche d'architecture réseau la plus récente ainsi que des concepts et solutions de conception de réseau appropriés pour gérer et surveiller la sécurité granulaire du réseau et la fourniture centralisée du réseau afin de gérer la complexité de l'environnement réseau dans le cloud.

vpc-flow-logs-enabled

 Les journaux de VPC flux fournissent des enregistrements détaillés contenant des informations sur le trafic IP à destination et en provenance des interfaces réseau de votre Amazon Virtual Private Cloud (AmazonVPC). Par défaut, le journal de flux inclut des valeurs pour les différents composants du flux IP, y compris la source, la destination et le protocole.
Annexe 10 Partie B - 1 (d) Une institution financière doit établir et utiliser des canaux de communication sécurisés et chiffrés pour migrer les serveurs physiques, les applications ou les données vers les plateformes cloud.

dms-replication-not-public

 Gérez l'accès au AWS cloud en vous assurant que les instances de DMS réplication ne sont pas accessibles au public. DMSles instances de réplication peuvent contenir des informations sensibles et un contrôle d'accès est requis pour ces comptes.
Annexe 10 Partie B - 1 (d) Une institution financière doit établir et utiliser des canaux de communication sécurisés et chiffrés pour migrer les serveurs physiques, les applications ou les données vers les plateformes cloud.

s3- bucket-ssl-requests-only

 Pour protéger les données en transit, assurez-vous que vos compartiments Amazon Simple Storage Service (Amazon S3) nécessitent des demandes d'utilisation du protocole Secure Socket Layer (). SSL Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
Annexe 10 Partie B - 1 (f) i) L'utilisation croissante d'interfaces de programmation d'applications (API) par les institutions financières pour s'interconnecter avec des fournisseurs de services d'applications externes pourrait améliorer l'efficacité de la prestation de nouveaux services. Cette tendance peut toutefois augmenter la surface des cyberattaques et une mauvaise gestion peut amplifier l'impact d'un incident de sécurité de l'information. Une institution financière doit s'assurer qu'elle est soumise à APIs des mécanismes de gestion et de contrôle rigoureux, notamment les suivants : i) APIs doit être conçue pour garantir la résilience des services afin d'éviter le risque de points de défaillance uniques et configurée de manière sécurisée avec des contrôles d'accès appropriés ;

api-gwv2- authorization-type-configured

 Assurez-vous que votre API itinéraire Amazon API Gateway v2 possède un type d'autorisation défini pour empêcher tout accès non autorisé aux ressources du backend sous-jacent.
Annexe 10 Partie B - 1 (f) (ii) L'utilisation croissante d'interfaces de programmation d'applications (API) par les institutions financières pour s'interconnecter avec des fournisseurs de services d'applications externes pourrait améliorer l'efficacité de la prestation de nouveaux services. Cette tendance peut toutefois augmenter la surface des cyberattaques et une mauvaise gestion peut amplifier l'impact d'un incident de sécurité de l'information. Une institution financière doit s'assurer qu'elle est soumise à APIs des mécanismes de gestion et de contrôle rigoureux, notamment les suivants : ii) elle APIs doit être suivie et surveillée contre les cyberattaques grâce à des mesures de réponse aux incidents adéquates et elle doit être mise hors service en temps opportun lorsqu'elle n'est plus utilisée.

api-gw-associated-with-guerre

 AWS WAFvous permet de configurer un ensemble de règles (appelé liste de contrôle d'accès Web (WebACL)) qui autorisent, bloquent ou comptent les requêtes Web sur la base de règles et de conditions de sécurité Web personnalisables que vous définissez. Assurez-vous que votre stage Amazon API Gateway est associé à un WAF site Web ACL pour le protéger des attaques malveillantes
Annexe 10 Partie B - 1 (f) (ii) L'utilisation croissante d'interfaces de programmation d'applications (API) par les institutions financières pour s'interconnecter avec des fournisseurs de services d'applications externes pourrait améliorer l'efficacité de la prestation de nouveaux services. Cette tendance peut toutefois augmenter la surface des cyberattaques et une mauvaise gestion peut amplifier l'impact d'un incident de sécurité de l'information. Une institution financière doit s'assurer qu'elle est soumise à APIs des mécanismes de gestion et de contrôle rigoureux, notamment les suivants : ii) elle APIs doit être suivie et surveillée contre les cyberattaques grâce à des mesures de réponse aux incidents adéquates et elle doit être mise hors service en temps opportun lorsqu'elle n'est plus utilisée.

api-gw-execution-logging-activé

 APILa journalisation de la passerelle affiche des vues détaillées API des utilisateurs qui ont accédé auAPI. Ces informations offrent une visibilité sur les activités des utilisateurs.
Annexe 10 Partie B - 2 (b) ii) Une institution financière doit continuellement tirer parti des capacités améliorées du cloud pour renforcer la sécurité des services cloud et les institutions financières sont, entre autres, encouragées à : ii) utiliser des pratiques d'infrastructure immuables pour le déploiement des services afin de réduire le risque de défaillance en créant un nouvel environnement doté de la dernière version stable du logiciel. La surveillance continue de l'environnement cloud doit inclure l'automatisation de la détection des modifications apportées à l'infrastructure immuable afin d'améliorer le contrôle de la conformité et la lutte contre les cyberattaques en constante évolution

cloudformation-stack-notification-check

 Pour détecter les modifications involontaires apportées aux AWS ressources sous-jacentes, assurez-vous que votre CloudFormation stack est configuré pour envoyer des notifications d'événements à un SNS sujet Amazon.
Annexe 10 Partie B - 3 (b) vi) Une institution financière doit veiller à ce que les images des machines virtuelles et des conteneurs soient configurées, renforcées et surveillées de manière appropriée. Cette démarche inclut les éléments suivants : vi) les images stockées sont soumises à une surveillance de sécurité contre tout accès et toute modification non autorisés.

cloudtrail-security-trail-enabled

 Cette règle permet de garantir l'utilisation des meilleures pratiques de sécurité AWS recommandées pour AWS CloudTrail, en vérifiant l'activation de plusieurs paramètres. Il s'agit notamment de l'utilisation du chiffrement des journaux, de la validation des journaux et de AWS CloudTrail l'activation dans plusieurs régions.
Annexe 10 Partie B - 5 (a) i) Afin de garantir une fonctionnalité de reprise efficace, les institutions financières doivent veiller à ce que les procédures de sauvegarde et de restauration existantes soient étendues aux services cloud, notamment en procédant comme suit : i) définir et formaliser une stratégie de sauvegarde et de restauration au stade de la planification de l'adoption du cloud ;

aurora-resources-protected-by-plan de sauvegarde

 Pour faciliter les processus de sauvegarde des données, assurez-vous que vos ressources Amazon Aurora font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
Annexe 10 Partie B - 5 (a) i) Afin de garantir une fonctionnalité de reprise efficace, les institutions financières doivent veiller à ce que les procédures de sauvegarde et de restauration existantes soient étendues aux services cloud, notamment en procédant comme suit : i) définir et formaliser une stratégie de sauvegarde et de restauration au stade de la planification de l'adoption du cloud ;

dynamodb-resources-protected-by-plan de sauvegarde

 Pour faciliter les processus de sauvegarde des données, assurez-vous que vos ressources Amazon DynamoDB font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
Annexe 10 Partie B - 5 (a) i) Afin de garantir une fonctionnalité de reprise efficace, les institutions financières doivent veiller à ce que les procédures de sauvegarde et de restauration existantes soient étendues aux services cloud, notamment en procédant comme suit : i) définir et formaliser une stratégie de sauvegarde et de restauration au stade de la planification de l'adoption du cloud ;

ebs-resources-protected-by-plan de sauvegarde

 Pour faciliter les processus de sauvegarde des données, assurez-vous que vos ressources Amazon Elastic Block Store (AmazonEBS) font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
Annexe 10 Partie B - 5 (a) i) Afin de garantir une fonctionnalité de reprise efficace, les institutions financières doivent veiller à ce que les procédures de sauvegarde et de restauration existantes soient étendues aux services cloud, notamment en procédant comme suit : i) définir et formaliser une stratégie de sauvegarde et de restauration au stade de la planification de l'adoption du cloud ;

efs-resources-protected-by-plan de sauvegarde

 Pour faciliter les processus de sauvegarde des données, assurez-vous que vos systèmes de fichiers Amazon Elastic File System (AmazonEFS) font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
Annexe 10 Partie B - 5 (a) i) Afin de garantir une fonctionnalité de reprise efficace, les institutions financières doivent veiller à ce que les procédures de sauvegarde et de restauration existantes soient étendues aux services cloud, notamment en procédant comme suit : i) définir et formaliser une stratégie de sauvegarde et de restauration au stade de la planification de l'adoption du cloud ;

rds-resources-protected-by-plan de sauvegarde

 Pour faciliter les processus de sauvegarde des données, assurez-vous que vos ressources Amazon Relational Database Service (RDSAmazon) font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
Annexe 10 Partie B - 5 (a) i) Afin de garantir une fonctionnalité de reprise efficace, les institutions financières doivent veiller à ce que les procédures de sauvegarde et de restauration existantes soient étendues aux services cloud, notamment en procédant comme suit : i) définir et formaliser une stratégie de sauvegarde et de restauration au stade de la planification de l'adoption du cloud ;

plan resources-protected-by-backup s3

 Pour faciliter les processus de sauvegarde des données, assurez-vous que vos compartiments Amazon Simple Storage Service (S3) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
Annexe 10 Partie B - 5 (b) Une institution financière doit veiller à ce que les procédures de sauvegarde et de restauration soient testées périodiquement afin de valider les fonctionnalités de reprise. La fréquence des procédures de sauvegarde doit être proportionnelle à la criticité du système et à l'objectif de point de restauration (RPO) du système. Des mesures correctives doivent être prises rapidement par l'institution financière en cas d'échec des sauvegardes.

backup-plan-min-frequency-and-min-retention-check

 Pour faciliter les processus de sauvegarde des données, assurez-vous que votre plan AWS de sauvegarde est défini pour une fréquence et une rétention minimales. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. Cette règle vous permet de définir les paramètres requiredFrequencyValue (Config par défaut : 1), requiredRetentionDays (Config par défaut : 35) et requiredFrequencyUnit (Config par défaut : jours). La valeur réelle doit refléter les exigences de votre organisation.
Annexe 10 Partie B - 5 (c) i) Un établissement financier doit garantir une sauvegarde et une restauration suffisantes de la machine virtuelle et du conteneur, y compris les paramètres de configuration de sauvegarde (pour l'IaaS et le PaaS, le cas échéant), notamment les éléments suivants : i) garantir la capacité de restaurer une machine virtuelle et un conteneur point-in-time conformément aux objectifs de reprise d'activité ;

backup-plan-min-frequency-and-min-retention-check

 Pour faciliter les processus de sauvegarde des données, assurez-vous que votre plan AWS de sauvegarde est défini pour une fréquence et une rétention minimales. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. Cette règle vous permet de définir les paramètres requiredFrequencyValue (Config par défaut : 1), requiredRetentionDays (Config par défaut : 35) et requiredFrequencyUnit (Config par défaut : jours). La valeur réelle doit refléter les exigences de votre organisation.
Annexe 10 Partie B - 5 (d) i) Une institution financière doit évaluer les exigences de résilience des services cloud et identifier les mesures appropriées adaptées à la criticité du système, afin de garantir la disponibilité des services dans les scénarios les plus défavorables. Les institutions financières doivent envisager une approche fondée sur le risque et adopter progressivement des contrôles d'atténuation appropriés pour garantir la disponibilité des services et atténuer le risque de concentration. Parmi les options viables figurent : i) tirer parti des fonctionnalités de haute disponibilité et de redondance des services cloud pour garantir que les centres de données de production disposent d'une capacité redondante dans les différentes zones de disponibilité ;

autoscaling-multiple-az

 Pour garantir une haute disponibilité, assurez-vous que votre groupe Auto Scaling est configuré pour couvrir plusieurs zones de disponibilité.
Annexe 10 Partie B - 5 (d) i) Une institution financière doit évaluer les exigences de résilience des services cloud et identifier les mesures appropriées adaptées à la criticité du système, afin de garantir la disponibilité des services dans les scénarios les plus défavorables. Les institutions financières doivent envisager une approche fondée sur le risque et adopter progressivement des contrôles d'atténuation appropriés pour garantir la disponibilité des services et atténuer le risque de concentration. Parmi les options viables figurent : i) tirer parti des fonctionnalités de haute disponibilité et de redondance des services cloud pour garantir que les centres de données de production disposent d'une capacité redondante dans les différentes zones de disponibilité ;

elbv2-multiple-az

 Elastic Load Balancing (ELB) distribue automatiquement votre trafic entrant sur plusieurs cibles, telles que EC2 les instances, les conteneurs et les adresses IP, dans une zone de disponibilité. Pour garantir une haute disponibilité, assurez-vous que vous avez ELB enregistré des instances provenant de plusieurs zones de disponibilité.
Annexe 10 Partie B - 5 (d) i) Une institution financière doit évaluer les exigences de résilience des services cloud et identifier les mesures appropriées adaptées à la criticité du système, afin de garantir la disponibilité des services dans les scénarios les plus défavorables. Les institutions financières doivent envisager une approche fondée sur le risque et adopter progressivement des contrôles d'atténuation appropriés pour garantir la disponibilité des services et atténuer le risque de concentration. Parmi les options viables figurent : i) tirer parti des fonctionnalités de haute disponibilité et de redondance des services cloud pour garantir que les centres de données de production disposent d'une capacité redondante dans les différentes zones de disponibilité ;

lambda-vpc-multi-az-vérifier

 Si votre fonction AWS Lambda est configurée pour se connecter à un cloud privé virtuel (VPC) dans votre compte, déployez la fonction AWS Lambda dans au moins deux zones de disponibilité différentes afin de vous assurer que votre fonction est disponible pour traiter les événements en cas d'interruption de service dans une seule zone.
Annexe 10 Partie B - 5 (d) i) Une institution financière doit évaluer les exigences de résilience des services cloud et identifier les mesures appropriées adaptées à la criticité du système, afin de garantir la disponibilité des services dans les scénarios les plus défavorables. Les institutions financières doivent envisager une approche fondée sur le risque et adopter progressivement des contrôles d'atténuation appropriés pour garantir la disponibilité des services et atténuer le risque de concentration. Parmi les options viables figurent : i) tirer parti des fonctionnalités de haute disponibilité et de redondance des services cloud pour garantir que les centres de données de production disposent d'une capacité redondante dans les différentes zones de disponibilité ;

nlb-cross-zone-load-activé pour l'équilibrage

 Activez l'équilibrage de charge entre zones pour vos NetworkLoad équilibreurs (NLBs) afin de maintenir une capacité et une disponibilité adéquates. L'équilibrage de charge entre zones réduit la nécessité de maintenir un nombre équivalent d'instances dans chaque zone de disponibilité activée. Cela améliore également la capacité de votre application à gérer la perte d'une ou de plusieurs instances.
Annexe 10 Partie B - 5 (d) i) Une institution financière doit évaluer les exigences de résilience des services cloud et identifier les mesures appropriées adaptées à la criticité du système, afin de garantir la disponibilité des services dans les scénarios les plus défavorables. Les institutions financières doivent envisager une approche fondée sur le risque et adopter progressivement des contrôles d'atténuation appropriés pour garantir la disponibilité des services et atténuer le risque de concentration. Parmi les options viables figurent : i) tirer parti des fonctionnalités de haute disponibilité et de redondance des services cloud pour garantir que les centres de données de production disposent d'une capacité redondante dans les différentes zones de disponibilité ;

rds-cluster-multi-az-activé

 La réplication multi-AZ doit être activée sur les clusters RDS Amazon Relational Database Service (Amazon) afin de garantir la disponibilité des données stockées. Chaque zone de disponibilité fonctionne sur sa propre infrastructure physiquement distincte et indépendante, et est conçue pour être hautement fiable. En cas de défaillance de l'infrastructure, Amazon RDS effectue un basculement automatique vers le mode veille afin que vous puissiez reprendre les opérations de base de données dès que le basculement est terminé.
Annexe 10 Partie B - 5 (d) i) Une institution financière doit évaluer les exigences de résilience des services cloud et identifier les mesures appropriées adaptées à la criticité du système, afin de garantir la disponibilité des services dans les scénarios les plus défavorables. Les institutions financières doivent envisager une approche fondée sur le risque et adopter progressivement des contrôles d'atténuation appropriés pour garantir la disponibilité des services et atténuer le risque de concentration. Parmi les options viables figurent : i) tirer parti des fonctionnalités de haute disponibilité et de redondance des services cloud pour garantir que les centres de données de production disposent d'une capacité redondante dans les différentes zones de disponibilité ;

rds-multi-az-support

 Le support multi-AZ d'Amazon Relational Database Service (RDSAmazon) améliore la disponibilité et la durabilité des instances de base de données. Lorsque vous mettez en service une instance de base de données multi-AZ, Amazon crée RDS automatiquement une instance de base de données principale et réplique les données de manière synchrone sur une instance de secours située dans une autre zone de disponibilité. Chaque zone de disponibilité fonctionne sur sa propre infrastructure physiquement distincte et indépendante, et est conçue pour être hautement fiable. En cas de défaillance de l'infrastructure, Amazon RDS effectue un basculement automatique vers le mode veille afin que vous puissiez reprendre les opérations de base de données dès que le basculement est terminé.
Annexe 10 Partie B - 8 (a) Une institution financière doit mettre en œuvre des techniques de chiffrement appropriées et pertinentes pour protéger la confidentialité et l'intégrité des données sensibles stockées dans le cloud.

api-gw-cache-enabledet crypté

 Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour le cache de votre stage API Gateway. Étant donné que des données sensibles peuvent être capturées pour API cette méthode, activez le chiffrement au repos pour protéger ces données.
Annexe 10 Partie B - 8 (a) Une institution financière doit mettre en œuvre des techniques de chiffrement appropriées et pertinentes pour protéger la confidentialité et l'intégrité des données sensibles stockées dans le cloud.

backup-recovery-point-encrypted

 Assurez-vous que le chiffrement est activé pour vos points AWS de restauration Backup. Comme il peut y avoir des données sensibles au repos, activez le chiffrement au repos pour protéger ces données.
Annexe 10 Partie B - 8 (a) Une institution financière doit mettre en œuvre des techniques de chiffrement appropriées et pertinentes pour protéger la confidentialité et l'intégrité des données sensibles stockées dans le cloud.

cloudtrail-security-trail-enabled

 Cette règle permet de garantir l'utilisation des meilleures pratiques de sécurité AWS recommandées pour AWS CloudTrail, en vérifiant l'activation de plusieurs paramètres. Il s'agit notamment de l'utilisation du chiffrement des journaux, de la validation des journaux et de AWS CloudTrail l'activation dans plusieurs régions.
Annexe 10 Partie B - 8 (a) Une institution financière doit mettre en œuvre des techniques de chiffrement appropriées et pertinentes pour protéger la confidentialité et l'intégrité des données sensibles stockées dans le cloud.

cloudwatch-log-group-encrypted

 Pour protéger les données sensibles au repos, assurez-vous que le chiffrement est activé pour vos Amazon CloudWatch Log Groups.
Annexe 10 Partie B - 8 (a) Une institution financière doit mettre en œuvre des techniques de chiffrement appropriées et pertinentes pour protéger la confidentialité et l'intégrité des données sensibles stockées dans le cloud.

dynamodb-table-encrypted-kms

 Assurez-vous que le chiffrement est activé pour vos tables Amazon DynamoDB. Comme il peut y avoir des données sensibles au repos dans ces tables, activez le chiffrement au repos pour protéger ces données. Par défaut, les tables DynamoDB sont chiffrées à l'aide AWS d'une clé principale propre au client (). CMK
Annexe 10 Partie B - 8 (a) Une institution financière doit mettre en œuvre des techniques de chiffrement appropriées et pertinentes pour protéger la confidentialité et l'intégrité des données sensibles stockées dans le cloud.

ec2- ebs-encryption-by-default

 Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (AmazonEBS). Comme il peut y avoir des données sensibles au repos dans ces volumes, activez le chiffrement au repos pour protéger ces données.
Annexe 10 Partie B - 8 (a) Une institution financière doit mettre en œuvre des techniques de chiffrement appropriées et pertinentes pour protéger la confidentialité et l'intégrité des données sensibles stockées dans le cloud.

efs-encrypted-check

 Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour votre Amazon Elastic File System (EFS).
Annexe 10 Partie B - 8 (a) Une institution financière doit mettre en œuvre des techniques de chiffrement appropriées et pertinentes pour protéger la confidentialité et l'intégrité des données sensibles stockées dans le cloud.

eks-secrets-encrypted

 Pour protéger les données au repos, assurez-vous que vos clusters Amazon Elastic Kubernetes Service EKS () sont configurés de manière à ce que les secrets Kubernetes soient chiffrés. Comme il peut y avoir des données sensibles au repos dans ces volumes, activez le chiffrement au repos pour protéger ces données.
Annexe 10 Partie B - 8 (a) Une institution financière doit mettre en œuvre des techniques de chiffrement appropriées et pertinentes pour protéger la confidentialité et l'intégrité des données sensibles stockées dans le cloud.

encrypted-volumes

 Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (AmazonEBS).
Annexe 10 Partie B - 8 (a) Une institution financière doit mettre en œuvre des techniques de chiffrement appropriées et pertinentes pour protéger la confidentialité et l'intégrité des données sensibles stockées dans le cloud.

opensearch-encrypted-at-rest

 Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos domaines Amazon OpenSearch Service.
Annexe 10 Partie B - 8 (a) Une institution financière doit mettre en œuvre des techniques de chiffrement appropriées et pertinentes pour protéger la confidentialité et l'intégrité des données sensibles stockées dans le cloud.

rds-snapshot-encrypted

 Assurez-vous que le chiffrement est activé pour vos instantanés Amazon Relational Database Service (RDSAmazon). Comme il peut y avoir des données sensibles au repos, activez le chiffrement au repos pour protéger ces données.
Annexe 10 Partie B - 8 (a) Une institution financière doit mettre en œuvre des techniques de chiffrement appropriées et pertinentes pour protéger la confidentialité et l'intégrité des données sensibles stockées dans le cloud.

redshift-cluster-kms-enabled

 Pour protéger les données au repos, assurez-vous que le chiffrement avec AWS Key Management Service (AWS KMS) est activé pour votre cluster Amazon Redshift. Comme il peut y avoir des données sensibles au repos dans les clusters Redshift, activez le chiffrement au repos pour protéger ces données.
Annexe 10 Partie B - 8 (a) Une institution financière doit mettre en œuvre des techniques de chiffrement appropriées et pertinentes pour protéger la confidentialité et l'intégrité des données sensibles stockées dans le cloud.

s3- default-encryption-kms

 Assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans un compartiment Amazon S3, activez le chiffrement au repos pour protéger ces données.
Annexe 10 Partie B - 8 (a) Une institution financière doit mettre en œuvre des techniques de chiffrement appropriées et pertinentes pour protéger la confidentialité et l'intégrité des données sensibles stockées dans le cloud.

secretsmanager-using-cmk

 Pour protéger les données au repos, assurez-vous que le chiffrement avec AWS Key Management Service (AWS KMS) est activé pour les AWS secrets de Secrets Manager. Comme il peut y avoir des données sensibles au repos dans les secrets de Secrets Manager, activez le chiffrement au repos pour protéger ces données.
Annexe 10 Partie B - 8 (a) Une institution financière doit mettre en œuvre des techniques de chiffrement appropriées et pertinentes pour protéger la confidentialité et l'intégrité des données sensibles stockées dans le cloud.

sns-encrypted-kms

 Pour protéger les données au repos, assurez-vous que vos rubriques Amazon Simple Notification Service (AmazonSNS) nécessitent un chiffrement à l'aide du AWS Key Management Service (AWS KMS). Comme il peut y avoir des données sensibles au repos dans les messages publiés, activez le chiffrement au repos pour protéger ces données.
Annexe 10 Partie B - 8 (d) Avec l'adoption croissante du cloud, la gestion de nombreuses clés de chiffrement utilisées pour protéger les données est devenue plus complexe et peut introduire de nouveaux défis pour les institutions financières. Une institution financière doit adopter une approche globale et centralisée en matière de gestion des clés, notamment en utilisant un système de gestion des clés centralisé capable de gérer les générations, le stockage et la distribution des clés de manière sécurisée et évolutive.

cmk-backing-key-rotation-activé

 Activez la rotation des clés pour vous assurer que les clés sont pivotées une fois qu'elles ont atteint la fin de leur période de chiffrement.
Annexe 10 Partie B - 8 (d) Avec l'adoption croissante du cloud, la gestion de nombreuses clés de chiffrement utilisées pour protéger les données est devenue plus complexe et peut introduire de nouveaux défis pour les institutions financières. Une institution financière doit adopter une approche globale et centralisée en matière de gestion des clés, notamment en utilisant un système de gestion des clés centralisé capable de gérer les générations, le stockage et la distribution des clés de manière sécurisée et évolutive.

kms-cmk-not-scheduled-pour suppression

 Pour protéger les données inactives, assurez-vous qu'il n'est pas prévu de supprimer les clés principales du client (CMKs) nécessaires dans le service de gestion des AWS clés (AWS KMS). La suppression de clés étant parfois nécessaire, cette règle peut aider à vérifier toutes les clés dont la suppression est prévue, au cas où la suppression d'une clé aurait été planifiée par inadvertance.
Annexe 10 Partie B - 9 (a) ii) Le plan de gestion constitue une différence de sécurité essentielle entre l'infrastructure traditionnelle et le cloud computing, où l'accès à distance est pris en charge par défaut. Cette couche d'accès peut être sujette aux cyberattaques, compromettant ainsi l'intégrité du déploiement dans le cloud. Dans cette optique, les institutions financières devraient garantir l'utilisation de contrôles stricts pour accéder au plan de gestion, qui peuvent inclure les éléments suivants : ii) mettre en œuvre le « moindre privilège » et une authentification multifactorielle renforcée (MFA) par exemple, un mot de passe fort, un jeton logiciel, un outil de gestion des accès privilégiés et des fonctions maker-checker ;

iam-password-policy

 Les identités et les informations d'identification sont émises, gérées et vérifiées sur la base d'une politique de IAM mot de passe organisationnelle. Ils respectent ou dépassent les exigences énoncées dans le NIST SP 800-63 et dans la norme AWS Foundational Security Best Practices en matière de robustesse des mots de passe. Cette règle vous permet de définir éventuellement RequireUppercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireLowercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireSymbols (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireNumbers (valeur des meilleures pratiques de sécurité de AWS base : vrai), MinimumPasswordLength (valeur des meilleures pratiques de sécurité de AWS base : 14), PasswordReusePrevention (valeur des meilleures pratiques de sécurité de AWS base : 24) et MaxPasswordAge (valeur des meilleures pratiques de sécurité de AWS base : 90) pour votre IAMPolitique de mot de passe. Les valeurs réelles doivent refléter les politiques de votre organisation.
Annexe 10 Partie B - 9 (a) ii) Le plan de gestion constitue une différence de sécurité essentielle entre l'infrastructure traditionnelle et le cloud computing, où l'accès à distance est pris en charge par défaut. Cette couche d'accès peut être sujette aux cyberattaques, compromettant ainsi l'intégrité du déploiement dans le cloud. Dans cette optique, les institutions financières devraient garantir l'utilisation de contrôles stricts pour accéder au plan de gestion, qui peuvent inclure les éléments suivants : ii) mettre en œuvre le « moindre privilège » et une authentification multifactorielle renforcée (MFA) par exemple, un mot de passe fort, un jeton logiciel, un outil de gestion des accès privilégiés et des fonctions maker-checker ;

iam-user-mfa-enabled

 Activez cette règle pour restreindre l'accès aux ressources dans le AWS cloud. Cette règle garantit que l'authentification multifactorielle (MFA) est activée pour tous les IAM utilisateurs. MFAajoute une couche de protection supplémentaire en plus du nom d'utilisateur et du mot de passe. Réduisez le nombre d'incidents liés à des comptes compromis en exigeant MFA des IAM utilisateurs.
Annexe 10 Partie B - 9 (a) ii) Le plan de gestion constitue une différence de sécurité essentielle entre l'infrastructure traditionnelle et le cloud computing, où l'accès à distance est pris en charge par défaut. Cette couche d'accès peut être sujette aux cyberattaques, compromettant ainsi l'intégrité du déploiement dans le cloud. Dans cette optique, les institutions financières devraient garantir l'utilisation de contrôles stricts pour accéder au plan de gestion, qui peuvent inclure les éléments suivants : ii) mettre en œuvre le « moindre privilège » et une authentification multifactorielle renforcée (MFA) par exemple, un mot de passe fort, un jeton logiciel, un outil de gestion des accès privilégiés et des fonctions maker-checker ;

root-account-hardware-mfa-activé

 Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le matériel MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. MFAAjoute une couche de protection supplémentaire pour le nom d'utilisateur et le mot de passe. En exigeant l'MFAaccès à l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission Comptes AWS.
Annexe 10 Partie B - 9 (a) ii) Le plan de gestion constitue une différence de sécurité essentielle entre l'infrastructure traditionnelle et le cloud computing, où l'accès à distance est pris en charge par défaut. Cette couche d'accès peut être sujette aux cyberattaques, compromettant ainsi l'intégrité du déploiement dans le cloud. Dans cette optique, les institutions financières devraient garantir l'utilisation de contrôles stricts pour accéder au plan de gestion, qui peuvent inclure les éléments suivants : ii) mettre en œuvre le « moindre privilège » et une authentification multifactorielle renforcée (MFA) par exemple, un mot de passe fort, un jeton logiciel, un outil de gestion des accès privilégiés et des fonctions maker-checker ;

root-account-mfa-enabled

 Gérez l'accès aux ressources dans le AWS cloud en vous assurant MFA qu'il est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. MFAAjoute une couche de protection supplémentaire pour le nom d'utilisateur et le mot de passe. En exigeant l'MFAaccès à l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission Comptes AWS.
Annexe 10 Partie B - 9 (a) iii) Le plan de gestion constitue une différence de sécurité essentielle entre l'infrastructure traditionnelle et le cloud computing, où l'accès à distance est pris en charge par défaut. Cette couche d'accès peut être sujette aux cyberattaques, compromettant ainsi l'intégrité du déploiement dans le cloud. Dans cette optique, les institutions financières doivent garantir l'utilisation de contrôles stricts pour accéder au plan de gestion, en procédant comme suit : iii) utiliser une attribution granulaire des droits des utilisateurs privilégiés ;

iam-policy-no-statements-with-admin-access

 AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Allow » avec « Action » : « * » plutôt que « Resource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
Annexe 10 Partie B - 9 (a) iii) Le plan de gestion constitue une différence de sécurité essentielle entre l'infrastructure traditionnelle et le cloud computing, où l'accès à distance est pris en charge par défaut. Cette couche d'accès peut être sujette aux cyberattaques, compromettant ainsi l'intégrité du déploiement dans le cloud. Dans cette optique, les institutions financières doivent garantir l'utilisation de contrôles stricts pour accéder au plan de gestion, en procédant comme suit : iii) utiliser une attribution granulaire des droits des utilisateurs privilégiés ;

iam-user-no-policies-vérifier

 Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les risques qu'une identité reçoive ou conserve des privilèges excessifs.
Annexe 10 Partie B - 9 (a) iv) Le plan de gestion constitue une différence de sécurité essentielle entre l'infrastructure traditionnelle et le cloud computing, où l'accès à distance est pris en charge par défaut. Cette couche d'accès peut être sujette aux cyberattaques, compromettant ainsi l'intégrité du déploiement dans le cloud. Dans cette optique, les institutions financières doivent veiller à utiliser des contrôles stricts pour accéder au plan de gestion, en procédant comme suit : iv) réaliser une surveillance continue des activités effectuées par les utilisateurs privilégiés ;

cloudtrail-security-trail-enabled

 Cette règle permet de garantir l'utilisation des meilleures pratiques de sécurité AWS recommandées pour AWS CloudTrail, en vérifiant l'activation de plusieurs paramètres. Il s'agit notamment de l'utilisation du chiffrement des journaux, de la validation des journaux et de AWS CloudTrail l'activation dans plusieurs régions.
Annexe 10 Partie B - 9 (a) iv) Le plan de gestion constitue une différence de sécurité essentielle entre l'infrastructure traditionnelle et le cloud computing, où l'accès à distance est pris en charge par défaut. Cette couche d'accès peut être sujette aux cyberattaques, compromettant ainsi l'intégrité du déploiement dans le cloud. Dans cette optique, les institutions financières doivent veiller à utiliser des contrôles stricts pour accéder au plan de gestion, en procédant comme suit : iv) réaliser une surveillance continue des activités effectuées par les utilisateurs privilégiés ;

cloud-trail-cloud-watch-activé pour les journaux

 Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des détails sur l'activité des API appels au sein de votre Compte AWS.
Annexe 10 Partie B - 12 (a) Une institution financière doit protéger les données hébergées dans les services cloud conformément à la section Prévention contre la perte de données (paragraphes 11.14 à 11.16) de la présente politique, notamment en augmentant l'empreinte des points de terminaison si l'institution financière autorise ses collaborateurs à utiliser leurs propres appareils pour accéder aux données sensibles.

guardduty-enabled-centralized

 Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes de programmes malveillants IPs et d'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud.
Annexe 10 Partie B - 12 (a) Une institution financière doit protéger les données hébergées dans les services cloud conformément à la section Prévention contre la perte de données (paragraphes 11.14 à 11.16) de la présente politique, notamment en augmentant l'empreinte des points de terminaison si l'institution financière autorise ses collaborateurs à utiliser leurs propres appareils pour accéder aux données sensibles.

macie-status-check

 Amazon Macie est un service dédié à la sécurité des données qui utilise le machine learning (ML) et la correspondance de modèles pour identifier et protéger vos données sensibles dans les compartiments Amazon Simple Storage Service (Amazon S3).
Annexe 10 Partie B - 14 (c) i) Une institution financière doit envisager les mesures supplémentaires suivantes lors de l'élaboration de son CIRP : i) améliorer sa capacité à détecter les incidents de violation de la sécurité afin de parvenir à une gestion efficace des incidents, y compris la capacité à détecter les fuites de données sur le Dark Web ;

guardduty-enabled-centralized

 Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes de programmes malveillants IPs et d'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud.
Annexe 10 Partie B - 14 (c) i) Une institution financière doit envisager les mesures supplémentaires suivantes lors de l'élaboration de son CIRP : i) améliorer sa capacité à détecter les incidents de violation de la sécurité afin de parvenir à une gestion efficace des incidents, y compris la capacité à détecter les fuites de données sur le Dark Web ;

guardduty-non-archived-findings

 Amazon vous GuardDuty aide à comprendre l'impact d'un incident en classant les résultats par gravité : faible, moyenne et élevée. Vous pouvez utiliser ces classifications pour déterminer les stratégies et les priorités de correction. Cette règle vous permet de définir éventuellement daysLowSev (Config Default : 30), daysMediumSev (Config Default : 7) et daysHighSev (Config Default : 1) pour les résultats non archivés, comme l'exigent les politiques de votre organisation.

Modèle

Le modèle est disponible sur GitHub : Operational Best Practices for BNM RMiT.