Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Bonnes pratiques de fonctionnement pour CMMC 2.0 niveau 1
Les packs de conformité fournissent un cadre de conformité à usage général conçu pour vous permettre de créer des contrôles de gouvernance en matière de sécurité, d'exploitation ou d'optimisation des coûts à l'aide de AWS Config règles gérées ou personnalisées et d'actions correctives. AWS Config Les packs de conformité, en tant qu'exemples de modèle, ne sont pas conçus pour garantir pleinement la conformité à une norme de gouvernance ou de conformité spécifique. Il vous incombe de déterminer vous-même si votre utilisation des services est conforme aux exigences légales et réglementaires applicables.
Vous trouverez ci-dessous un exemple de mappage entre la certification du modèle de maturité de la cybersécurité (CMMC) 2.0 niveau 1 et les règles de configuration AWS gérées. Chaque règle de configuration s'applique à une AWS ressource spécifique et concerne un ou plusieurs contrôles CMMC 2.0 de niveau 1. Un contrôle CMMC 2.0 de niveau 1 peut être associé à plusieurs règles de configuration. Reportez-vous au tableau ci-dessous pour obtenir plus de détails et des conseils relatifs à ces mappages.
| ID du contrôle | Description du contrôle | AWS Règle de configuration | Conseils |
|---|---|---|---|
| AC.L1-3.1.1 | Limitez l'accès au système d'information aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés ou aux appareils (y compris les autres systèmes d'information). | Les informations d'identification sont auditées pour les appareils, les utilisateurs et les processus autorisés en veillant à ce que les clés d'accès IAM soient alternées conformément à la politique de l'organisation. La modification régulière des clés d'accès est une bonne pratique de sécurité. Cela permet de raccourcir la période pendant laquelle une clé d'accès est active et de réduire l'impact commercial en cas de compromission des clés. Cette règle nécessite une valeur de rotation des clés d'accès (configuration par défaut : 90). La valeur réelle doit refléter les politiques de votre organisation. | |
| AC.L1-3.1.1 | Limitez l'accès au système d'information aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés ou aux appareils (y compris les autres systèmes d'information). | Gérez l'accès au AWS cloud en vous assurant que les instances de réplication DMS ne sont pas accessibles au public. Les instances de réplication DMS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| AC.L1-3.1.1 | Limitez l'accès au système d'information aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés ou aux appareils (y compris les autres systèmes d'information). | Gérez l'accès au AWS cloud en vous assurant que les instantanés EBS ne sont pas restaurables publiquement. Les instantanés des volumes EBS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| AC.L1-3.1.1 | Limitez l'accès au système d'information aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés ou aux appareils (y compris les autres systèmes d'information). | Assurez-vous que la méthode Service des métadonnées d'instance Version 2 (IMDSv2) est activée pour protéger l'accès aux métadonnées d'instance Amazon Elastic Compute Cloud (Amazon EC2) et leur contrôle. La méthode IMDSv2 utilise des contrôles basés sur la session. Avec IMDSv2, des contrôles peuvent être mis en œuvre pour limiter les modifications apportées aux métadonnées des instances. | |
| AC.L1-3.1.1 | Limitez l'accès au système d'information aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés ou aux appareils (y compris les autres systèmes d'information). | Gérez l'accès au AWS cloud en vous assurant que les instances Amazon Elastic Compute Cloud (Amazon EC2) ne sont pas accessibles au public. Les instances Amazon EC2 peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| AC.L1-3.1.1 | Limitez l'accès au système d'information aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés ou aux appareils (y compris les autres systèmes d'information). | Les profils d'instance EC2 transmettent un rôle IAM à une instance EC2. L'association d'un profil d'instance à vos instances peut faciliter la gestion du moindre privilège et des autorisations. | |
| AC.L1-3.1.1 | Limitez l'accès au système d'information aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés ou aux appareils (y compris les autres systèmes d'information). | Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch OpenSearch Service (Service) se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine de OpenSearch service au sein d'un Amazon VPC permet une communication sécurisée entre le OpenSearch service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN. | |
| AC.L1-3.1.1 | Limitez l'accès au système d'information aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés ou aux appareils (y compris les autres systèmes d'information). | Les autorisations d'accès peuvent être gérées et intégrées selon les principes du moindre privilège et de la séparation des tâches, en activant Kerberos pour les clusters Amazon EMR. Dans Kerberos, les services et utilisateurs qui ont besoin de s'authentifier sont appelés principaux. Les principaux existent au sein d'un domaine Kerberos. Dans le domaine, un serveur Kerberos est connu sous le nom de centre de diffusion des clés (KDC). Il fournit aux principaux un moyen de s'authentifier. Le KDC s'authentifie en émettant des tickets d'authentification. Il gère une base de données des principaux au sein de son domaine, leurs mots de passe, ainsi que d'autres informations administratives sur chaque principal. | |
| AC.L1-3.1.1 | Limitez l'accès au système d'information aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés ou aux appareils (y compris les autres systèmes d'information). | Gérez l'accès au AWS cloud en vous assurant que les nœuds maîtres du cluster Amazon EMR ne sont pas accessibles au public. Les nœuds principaux du cluster Amazon EMR peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| AC.L1-3.1.1 | Limitez l'accès au système d'information aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés ou aux appareils (y compris les autres systèmes d'information). | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en empêchant les politiques de contenir des actions bloquées sur toutes les AWS clés du Key Management Service. Avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms : From). ReEncrypt Les valeurs réelles doivent refléter les politiques de votre organisation | |
| AC.L1-3.1.1 | Limitez l'accès au système d'information aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés ou aux appareils (y compris les autres systèmes d'information). | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en garantissant que les groupes IAM comptent au moins un utilisateur. Placer les utilisateurs dans des groupes en fonction des autorisations ou des fonctions qui leur sont associées est une manière d'intégrer le moindre privilège. | |
| AC.L1-3.1.1 | Limitez l'accès au système d'information aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés ou aux appareils (y compris les autres systèmes d'information). | Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée autorisant le blocage d'actions sur toutes les clés du service de gestion des clés. AWS AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions, la restauration, ainsi que la délégation de la gestion des autorisations. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms : From). ReEncrypt Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| AC.L1-3.1.1 | Limitez l'accès au système d'information aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés ou aux appareils (y compris les autres systèmes d'information). | Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée pour contrôler l'accès aux systèmes et aux actifs. AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions et la restauration, ainsi que la délégation de la gestion des autorisations. | |
| AC.L1-3.1.1 | Limitez l'accès au système d'information aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés ou aux appareils (y compris les autres systèmes d'information). | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| AC.L1-3.1.1 | Limitez l'accès au système d'information aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés ou aux appareils (y compris les autres systèmes d'information). | Assurez-vous que les actions IAM sont limitées aux seules actions nécessaires. Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| AC.L1-3.1.1 | Limitez l'accès au système d'information aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés ou aux appareils (y compris les autres systèmes d'information). | L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt la fonction basée sur Comptes AWS les rôles pour intégrer le principe de moindre fonctionnalité. | |
| AC.L1-3.1.1 | Limitez l'accès au système d'information aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés ou aux appareils (y compris les autres systèmes d'information). | AWS Identity and Access Management (IAM) peut vous aider à restreindre les autorisations d'accès en vous assurant que les utilisateurs sont membres d'au moins un groupe. Accorder aux utilisateurs plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| AC.L1-3.1.1 | Limitez l'accès au système d'information aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés ou aux appareils (y compris les autres systèmes d'information). | Activez cette règle pour restreindre l'accès aux ressources dans le AWS cloud. Cette règle garantit que l'authentification multifactorielle (MFA) est activée pour tous les utilisateurs. La MFA ajoute une couche supplémentaire de protection, en plus des informations d'identification de connexion. Réduisez les incidents de comptes compromis en imposant la MFA aux utilisateurs. | |
| AC.L1-3.1.1 | Limitez l'accès au système d'information aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés ou aux appareils (y compris les autres systèmes d'information). | Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les risques qu'une identité reçoive ou conserve des privilèges excessifs. | |
| AC.L1-3.1.1 | Limitez l'accès au système d'information aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés ou aux appareils (y compris les autres systèmes d'information). | AWS Identity and Access Management (IAM) peut vous aider à obtenir des autorisations et des autorisations d'accès en vérifiant les mots de passe et les clés d'accès IAM qui ne sont pas utilisés pendant une période donnée. Si de telles informations d'identification non utilisées sont identifiées, vous devez les désactiver et/ou les supprimer afin de ne pas risquer d'enfreindre le principe du moindre privilège. Cette règle vous oblige à définir une valeur sur maxCredentialUsage Age (Config Default : 90). La valeur réelle doit refléter les politiques de votre organisation. | |
| AC.L1-3.1.1 | Limitez l'accès au système d'information aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés ou aux appareils (y compris les autres systèmes d'information). | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent aider à gérer l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS Ne pas autoriser le trafic entrant (ou distant) de 0.0.0.0/0 vers le port 22 sur vos ressources vous aide à restreindre l'accès à distance. | |
| AC.L1-3.1.1 | Limitez l'accès au système d'information aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés ou aux appareils (y compris les autres systèmes d'information). | Déployez des instances Amazon Elastic Compute Cloud (Amazon EC2) au sein d'un réseau Amazon Virtual Private Cloud (Amazon VPC) pour permettre une communication sécurisée entre une instance et les autres services au sein du réseau Amazon VPC, sans nécessiter de passerelle Internet, de périphérique NAT ou de connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Attribuez des instances Amazon EC2 à un réseau Amazon VPC pour une gestion correcte des accès. | |
| AC.L1-3.1.1 | Limitez l'accès au système d'information aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés ou aux appareils (y compris les autres systèmes d'information). | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les passerelles Internet ne sont connectées qu'à Amazon Virtual Private Cloud (Amazon VPC) autorisé. Les passerelles Internet permettent un accès bidirectionnel à Internet depuis et vers le réseau Amazon VPC, ce qui peut potentiellement entraîner un accès non autorisé aux ressources Amazon VPC. | |
| AC.L1-3.1.1 | Limitez l'accès au système d'information aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés ou aux appareils (y compris les autres systèmes d'information). | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les fonctions AWS Lambda ne sont pas accessibles au public. Un accès public peut potentiellement entraîner une dégradation de la disponibilité des ressources. | |
| AC.L1-3.1.1 | Limitez l'accès au système d'information aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés ou aux appareils (y compris les autres systèmes d'information). | Déployez les fonctions AWS Lambda dans un Amazon Virtual Private Cloud (Amazon VPC) pour une communication sécurisée entre une fonction et les autres services au sein d'Amazon VPC. Avec cette configuration, il n'est pas nécessaire d'avoir une passerelle Internet, un périphérique NAT ou une connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Pour gérer correctement l'accès, les fonctions AWS Lambda doivent être attribuées à un VPC. | |
| AC.L1-3.1.1 | Limitez l'accès au système d'information aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés ou aux appareils (y compris les autres systèmes d'information). | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour tous les utilisateurs AWS d'Identity and Access Management (IAM) dotés d'un mot de passe de console. La MFA ajoute une couche supplémentaire de protection, en plus des informations d'identification de connexion. En exigeant la MFA pour les utilisateurs, vous pouvez réduire les incidents liés à des comptes compromis et empêcher les utilisateurs non autorisés d'accéder aux données sensibles. | |
| AC.L1-3.1.1 | Limitez l'accès au système d'information aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés ou aux appareils (y compris les autres systèmes d'information). | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| AC.L1-3.1.1 | Limitez l'accès au système d'information aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés ou aux appareils (y compris les autres systèmes d'information). | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| AC.L1-3.1.1 | Limitez l'accès au système d'information aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés ou aux appareils (y compris les autres systèmes d'information). | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| AC.L1-3.1.1 | Limitez l'accès au système d'information aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés ou aux appareils (y compris les autres systèmes d'information). | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. Cette règle vous permet éventuellement de définir les paramètres blockedPort1 à blockedPort5 (configuration par défaut : 20,21,3389,3306,4333). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| AC.L1-3.1.1 | Limitez l'accès au système d'information aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés ou aux appareils (y compris les autres systèmes d'information). | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le matériel MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. La MFA ajoute une couche supplémentaire de protection pour les informations d'identification de connexion En exigeant l'authentification MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission. Comptes AWS | |
| AC.L1-3.1.1 | Limitez l'accès au système d'information aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés ou aux appareils (y compris les autres systèmes d'information). | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. La MFA ajoute une couche supplémentaire de protection pour les informations d'identification de connexion En exigeant l'authentification MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission. Comptes AWS | |
| AC.L1-3.1.1 | Limitez l'accès au système d'information aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés ou aux appareils (y compris les autres systèmes d'information). | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| AC.L1-3.1.1 | Limitez l'accès au système d'information aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés ou aux appareils (y compris les autres systèmes d'information). | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public au niveau du compartiment. | |
| AC.L1-3.1.1 | Limitez l'accès au système d'information aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés ou aux appareils (y compris les autres systèmes d'information). | Gérez l'accès au AWS cloud en activant s3_ bucket_policy_grantee_check. Cette règle vérifie que l'accès accordé par le compartiment Amazon S3 est limité par les principaux, les utilisateurs fédérés, AWS les principaux de service, les adresses IP ou les identifiants Amazon Virtual Private Cloud (Amazon VPC) que vous fournissez. | |
| AC.L1-3.1.1 | Limitez l'accès au système d'information aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés ou aux appareils (y compris les autres systèmes d'information). | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
| AC.L1-3.1.1 | Limitez l'accès au système d'information aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés ou aux appareils (y compris les autres systèmes d'information). | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
| AC.L1-3.1.1 | Limitez l'accès au système d'information aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés ou aux appareils (y compris les autres systèmes d'information). | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les SageMaker blocs-notes Amazon ne permettent pas un accès direct à Internet. En empêchant l'accès direct à Internet, vous pouvez empêcher les utilisateurs non autorisés d'accéder à des données sensibles. | |
| AC.L1-3.1.1 | Limitez l'accès au système d'information aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés ou aux appareils (y compris les autres systèmes d'information). | Cette règle garantit que la rotation AWS des secrets de Secrets Manager est activée. La rotation régulière des secrets peut raccourcir la période pendant laquelle un secret est actif et potentiellement réduire l'impact commercial s'il est compromis. | |
| AC.L1-3.1.1 | Limitez l'accès au système d'information aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés ou aux appareils (y compris les autres systèmes d'information). | Cette règle garantit que AWS les secrets de Secrets Manager ont été correctement transférés conformément au calendrier de rotation. La rotation régulière des secrets peut raccourcir la période pendant laquelle un secret est actif et potentiellement réduire l'impact commercial s'il est compromis. | |
| AC.L1-3.1.1 | Limitez l'accès au système d'information aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés ou aux appareils (y compris les autres systèmes d'information). | Assurez-vous que AWS les documents de Systems Manager (SSM) ne sont pas publics, car cela peut permettre un accès involontaire à vos documents SSM. Un document SSM public peut exposer des informations sur votre compte, vos ressources et vos processus internes. | |
| AC.L1-3.1.1 | Limitez l'accès au système d'information aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés ou aux appareils (y compris les autres systèmes d'information). | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent contribuer à la gestion de l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS La restriction de tout le trafic sur le groupe de sécurité par défaut permet de restreindre l'accès à distance à vos AWS ressources. | |
| AC.L1-3.1.1 | Limitez l'accès au système d'information aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés ou aux appareils (y compris les autres systèmes d'information). | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. En limitant l'accès aux ressources d'un groupe de sécurité depuis Internet (0.0.0.0/0), il est possible de contrôler l'accès à distance aux systèmes internes. | |
| AC.L1-3.1.1 | Limitez l'accès au système d'information aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés ou aux appareils (y compris les autres systèmes d'information). | Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch Service se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine Amazon OpenSearch Service au sein d'un Amazon VPC permet une communication sécurisée entre Amazon OpenSearch Service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN. | |
| AC.L1-3.1.2 | Limitez l'accès au système d'information aux types de transactions et de fonctions que les utilisateurs autorisés ont le droit d'exécuter. | Gérez l'accès au AWS cloud en vous assurant que les instances de réplication DMS ne sont pas accessibles au public. Les instances de réplication DMS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| AC.L1-3.1.2 | Limitez l'accès au système d'information aux types de transactions et de fonctions que les utilisateurs autorisés ont le droit d'exécuter. | Gérez l'accès au AWS cloud en vous assurant que les instantanés EBS ne sont pas restaurables publiquement. Les instantanés des volumes EBS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| AC.L1-3.1.2 | Limitez l'accès au système d'information aux types de transactions et de fonctions que les utilisateurs autorisés ont le droit d'exécuter. | Assurez-vous que la méthode Service des métadonnées d'instance Version 2 (IMDSv2) est activée pour protéger l'accès aux métadonnées d'instance Amazon Elastic Compute Cloud (Amazon EC2) et leur contrôle. La méthode IMDSv2 utilise des contrôles basés sur la session. Avec IMDSv2, des contrôles peuvent être mis en œuvre pour limiter les modifications apportées aux métadonnées des instances. | |
| AC.L1-3.1.2 | Limitez l'accès au système d'information aux types de transactions et de fonctions que les utilisateurs autorisés ont le droit d'exécuter. | Gérez l'accès au AWS cloud en vous assurant que les instances Amazon Elastic Compute Cloud (Amazon EC2) ne sont pas accessibles au public. Les instances Amazon EC2 peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| AC.L1-3.1.2 | Limitez l'accès au système d'information aux types de transactions et de fonctions que les utilisateurs autorisés ont le droit d'exécuter. | Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch OpenSearch Service (Service) se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine de OpenSearch service au sein d'un Amazon VPC permet une communication sécurisée entre le OpenSearch service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN. | |
| AC.L1-3.1.2 | Limitez l'accès au système d'information aux types de transactions et de fonctions que les utilisateurs autorisés ont le droit d'exécuter. | Les autorisations d'accès peuvent être gérées et intégrées selon les principes du moindre privilège et de la séparation des tâches, en activant Kerberos pour les clusters Amazon EMR. Dans Kerberos, les services et utilisateurs qui ont besoin de s'authentifier sont appelés principaux. Les principaux existent au sein d'un domaine Kerberos. Dans le domaine, un serveur Kerberos est connu sous le nom de centre de diffusion des clés (KDC). Il fournit aux principaux un moyen de s'authentifier. Le KDC s'authentifie en émettant des tickets d'authentification. Il gère une base de données des principaux au sein de son domaine, leurs mots de passe, ainsi que d'autres informations administratives sur chaque principal. | |
| AC.L1-3.1.2 | Limitez l'accès au système d'information aux types de transactions et de fonctions que les utilisateurs autorisés ont le droit d'exécuter. | Gérez l'accès au AWS cloud en vous assurant que les nœuds maîtres du cluster Amazon EMR ne sont pas accessibles au public. Les nœuds principaux du cluster Amazon EMR peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| AC.L1-3.1.2 | Limitez l'accès au système d'information aux types de transactions et de fonctions que les utilisateurs autorisés ont le droit d'exécuter. | Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée pour contrôler l'accès aux systèmes et aux actifs. AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions et la restauration, ainsi que la délégation de la gestion des autorisations. | |
| AC.L1-3.1.2 | Limitez l'accès au système d'information aux types de transactions et de fonctions que les utilisateurs autorisés ont le droit d'exécuter. | Les identités et les informations d'identification sont émises, gérées et vérifiées conformément à une politique de mot de passe IAM organisationnelle. Ils respectent ou dépassent les exigences énoncées par le NIST SP 800-63 et par la norme AWS Foundational Security Best Practices en matière de robustesse des mots de passe. Cette règle vous permet de définir éventuellement RequireUppercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireLowercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireSymbols (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireNumbers (valeur des meilleures pratiques de sécurité de AWS base : vrai), MinimumPasswordLength (valeur des meilleures pratiques de sécurité de AWS base : 14), PasswordReusePrevention (valeur des meilleures pratiques de sécurité de AWS base : 24) et MaxPasswordAge (valeur des meilleures pratiques de sécurité de AWS base : 90) pour votre IAM Politique de mot de passe. Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| AC.L1-3.1.2 | Limitez l'accès au système d'information aux types de transactions et de fonctions que les utilisateurs autorisés ont le droit d'exécuter. | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| AC.L1-3.1.2 | Limitez l'accès au système d'information aux types de transactions et de fonctions que les utilisateurs autorisés ont le droit d'exécuter. | L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt la fonction basée sur Comptes AWS les rôles pour intégrer le principe de moindre fonctionnalité. | |
| AC.L1-3.1.2 | Limitez l'accès au système d'information aux types de transactions et de fonctions que les utilisateurs autorisés ont le droit d'exécuter. | AWS Identity and Access Management (IAM) peut vous aider à restreindre les autorisations d'accès en vous assurant que les utilisateurs sont membres d'au moins un groupe. Accorder aux utilisateurs plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| AC.L1-3.1.2 | Limitez l'accès au système d'information aux types de transactions et de fonctions que les utilisateurs autorisés ont le droit d'exécuter. | Activez cette règle pour restreindre l'accès aux ressources dans le AWS cloud. Cette règle garantit que l'authentification multifactorielle (MFA) est activée pour tous les utilisateurs. La MFA ajoute une couche supplémentaire de protection, en plus des informations d'identification de connexion. Réduisez les incidents de comptes compromis en imposant la MFA aux utilisateurs. | |
| AC.L1-3.1.2 | Limitez l'accès au système d'information aux types de transactions et de fonctions que les utilisateurs autorisés ont le droit d'exécuter. | Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les risques qu'une identité reçoive ou conserve des privilèges excessifs. | |
| AC.L1-3.1.2 | Limitez l'accès au système d'information aux types de transactions et de fonctions que les utilisateurs autorisés ont le droit d'exécuter. | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent aider à gérer l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS Ne pas autoriser le trafic entrant (ou distant) de 0.0.0.0/0 vers le port 22 sur vos ressources vous aide à restreindre l'accès à distance. | |
| AC.L1-3.1.2 | Limitez l'accès au système d'information aux types de transactions et de fonctions que les utilisateurs autorisés ont le droit d'exécuter. | Déployez des instances Amazon Elastic Compute Cloud (Amazon EC2) au sein d'un réseau Amazon Virtual Private Cloud (Amazon VPC) pour permettre une communication sécurisée entre une instance et les autres services au sein du réseau Amazon VPC, sans nécessiter de passerelle Internet, de périphérique NAT ou de connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Attribuez des instances Amazon EC2 à un réseau Amazon VPC pour une gestion correcte des accès. | |
| AC.L1-3.1.2 | Limitez l'accès au système d'information aux types de transactions et de fonctions que les utilisateurs autorisés ont le droit d'exécuter. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les passerelles Internet ne sont connectées qu'à Amazon Virtual Private Cloud (Amazon VPC) autorisé. Les passerelles Internet permettent un accès bidirectionnel à Internet depuis et vers le réseau Amazon VPC, ce qui peut potentiellement entraîner un accès non autorisé aux ressources Amazon VPC. | |
| AC.L1-3.1.2 | Limitez l'accès au système d'information aux types de transactions et de fonctions que les utilisateurs autorisés ont le droit d'exécuter. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les fonctions AWS Lambda ne sont pas accessibles au public. Un accès public peut potentiellement entraîner une dégradation de la disponibilité des ressources. | |
| AC.L1-3.1.2 | Limitez l'accès au système d'information aux types de transactions et de fonctions que les utilisateurs autorisés ont le droit d'exécuter. | Déployez les fonctions AWS Lambda dans un Amazon Virtual Private Cloud (Amazon VPC) pour une communication sécurisée entre une fonction et les autres services au sein d'Amazon VPC. Avec cette configuration, il n'est pas nécessaire d'avoir une passerelle Internet, un périphérique NAT ou une connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Pour gérer correctement l'accès, les fonctions AWS Lambda doivent être attribuées à un VPC. | |
| AC.L1-3.1.2 | Limitez l'accès au système d'information aux types de transactions et de fonctions que les utilisateurs autorisés ont le droit d'exécuter. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour tous les utilisateurs AWS d'Identity and Access Management (IAM) dotés d'un mot de passe de console. La MFA ajoute une couche supplémentaire de protection, en plus des informations d'identification de connexion. En exigeant la MFA pour les utilisateurs, vous pouvez réduire les incidents liés à des comptes compromis et empêcher les utilisateurs non autorisés d'accéder aux données sensibles. | |
| AC.L1-3.1.2 | Limitez l'accès au système d'information aux types de transactions et de fonctions que les utilisateurs autorisés ont le droit d'exécuter. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| AC.L1-3.1.2 | Limitez l'accès au système d'information aux types de transactions et de fonctions que les utilisateurs autorisés ont le droit d'exécuter. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| AC.L1-3.1.2 | Limitez l'accès au système d'information aux types de transactions et de fonctions que les utilisateurs autorisés ont le droit d'exécuter. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| AC.L1-3.1.2 | Limitez l'accès au système d'information aux types de transactions et de fonctions que les utilisateurs autorisés ont le droit d'exécuter. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. Cette règle vous permet éventuellement de définir les paramètres blockedPort1 à blockedPort5 (configuration par défaut : 20,21,3389,3306,4333). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| AC.L1-3.1.2 | Limitez l'accès au système d'information aux types de transactions et de fonctions que les utilisateurs autorisés ont le droit d'exécuter. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le matériel MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. La MFA ajoute une couche supplémentaire de protection pour les informations d'identification de connexion En exigeant l'authentification MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission. Comptes AWS | |
| AC.L1-3.1.2 | Limitez l'accès au système d'information aux types de transactions et de fonctions que les utilisateurs autorisés ont le droit d'exécuter. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. La MFA ajoute une couche supplémentaire de protection pour les informations d'identification de connexion En exigeant l'authentification MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission. Comptes AWS | |
| AC.L1-3.1.2 | Limitez l'accès au système d'information aux types de transactions et de fonctions que les utilisateurs autorisés ont le droit d'exécuter. | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| AC.L1-3.1.2 | Limitez l'accès au système d'information aux types de transactions et de fonctions que les utilisateurs autorisés ont le droit d'exécuter. | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public au niveau du compartiment. | |
| AC.L1-3.1.2 | Limitez l'accès au système d'information aux types de transactions et de fonctions que les utilisateurs autorisés ont le droit d'exécuter. | Gérez l'accès au AWS cloud en activant s3_ bucket_policy_grantee_check. Cette règle vérifie que l'accès accordé par le compartiment Amazon S3 est limité par les principaux, les utilisateurs fédérés, AWS les principaux de service, les adresses IP ou les identifiants Amazon Virtual Private Cloud (Amazon VPC) que vous fournissez. | |
| AC.L1-3.1.2 | Limitez l'accès au système d'information aux types de transactions et de fonctions que les utilisateurs autorisés ont le droit d'exécuter. | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
| AC.L1-3.1.2 | Limitez l'accès au système d'information aux types de transactions et de fonctions que les utilisateurs autorisés ont le droit d'exécuter. | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
| AC.L1-3.1.2 | Limitez l'accès au système d'information aux types de transactions et de fonctions que les utilisateurs autorisés ont le droit d'exécuter. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les SageMaker blocs-notes Amazon ne permettent pas un accès direct à Internet. En empêchant l'accès direct à Internet, vous pouvez empêcher les utilisateurs non autorisés d'accéder à des données sensibles. | |
| AC.L1-3.1.2 | Limitez l'accès au système d'information aux types de transactions et de fonctions que les utilisateurs autorisés ont le droit d'exécuter. | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent contribuer à la gestion de l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS La restriction de tout le trafic sur le groupe de sécurité par défaut permet de restreindre l'accès à distance à vos AWS ressources. | |
| AC.L1-3.1.2 | Limitez l'accès au système d'information aux types de transactions et de fonctions que les utilisateurs autorisés ont le droit d'exécuter. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. En limitant l'accès aux ressources d'un groupe de sécurité depuis Internet (0.0.0.0/0), il est possible de contrôler l'accès à distance aux systèmes internes. | |
| AC.L1-3.1.2 | Limitez l'accès au système d'information aux types de transactions et de fonctions que les utilisateurs autorisés ont le droit d'exécuter. | Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch Service se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine Amazon OpenSearch Service au sein d'un Amazon VPC permet une communication sécurisée entre Amazon OpenSearch Service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN. | |
| AC.L1-3.1.20 | Vérifiez et contrôlez/limitez les connexions aux systèmes d'information externes et leur utilisation. | Assurez-vous que AWS le WAF est activé sur les Elastic Load Balancers (ELB) pour protéger les applications Web. Un WAF aide à protéger vos applications Web ou API contre les menaces Web courantes. Ces attaques Web peuvent affecter la disponibilité, compromettre la sécurité ou consommer des ressources excessives dans votre environnement. | |
| AC.L1-3.1.20 | Vérifiez et contrôlez/limitez les connexions aux systèmes d'information externes et leur utilisation. | Si vous configurez vos interfaces réseau avec une adresse IP publique, les ressources associées à ces interfaces réseau sont accessibles depuis Internet. Les ressources EC2 ne doivent pas être accessibles au public, car cela pourrait permettre un accès imprévu à vos applications ou à vos serveurs. | |
| AC.L1-3.1.20 | Vérifiez et contrôlez/limitez les connexions aux systèmes d'information externes et leur utilisation. | Gérez l'accès au AWS cloud en vous assurant que les instances Amazon Elastic Compute Cloud (Amazon EC2) ne sont pas accessibles au public. Les instances Amazon EC2 peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| AC.L1-3.1.20 | Vérifiez et contrôlez/limitez les connexions aux systèmes d'information externes et leur utilisation. | Gérez l'accès au AWS cloud en vous assurant que les nœuds maîtres du cluster Amazon EMR ne sont pas accessibles au public. Les nœuds principaux du cluster Amazon EMR peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| AC.L1-3.1.20 | Vérifiez et contrôlez/limitez les connexions aux systèmes d'information externes et leur utilisation. | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent aider à gérer l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS Ne pas autoriser le trafic entrant (ou distant) de 0.0.0.0/0 vers le port 22 sur vos ressources vous aide à restreindre l'accès à distance. | |
| AC.L1-3.1.20 | Vérifiez et contrôlez/limitez les connexions aux systèmes d'information externes et leur utilisation. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les passerelles Internet ne sont connectées qu'à Amazon Virtual Private Cloud (Amazon VPC) autorisé. Les passerelles Internet permettent un accès bidirectionnel à Internet depuis et vers le réseau Amazon VPC, ce qui peut potentiellement entraîner un accès non autorisé aux ressources Amazon VPC. | |
| AC.L1-3.1.20 | Vérifiez et contrôlez/limitez les connexions aux systèmes d'information externes et leur utilisation. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les fonctions AWS Lambda ne sont pas accessibles au public. Un accès public peut potentiellement entraîner une dégradation de la disponibilité des ressources. | |
| AC.L1-3.1.20 | Vérifiez et contrôlez/limitez les connexions aux systèmes d'information externes et leur utilisation. | Assurez-vous que les tables de routage Amazon EC2 ne disposent pas de routes illimitées vers une passerelle Internet. La suppression ou la limitation de l'accès à Internet pour les charges de travail au sein des réseaux Amazon VPC peut réduire les accès imprévus au sein de votre environnement. | |
| AC.L1-3.1.20 | Vérifiez et contrôlez/limitez les connexions aux systèmes d'information externes et leur utilisation. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| AC.L1-3.1.20 | Vérifiez et contrôlez/limitez les connexions aux systèmes d'information externes et leur utilisation. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| AC.L1-3.1.20 | Vérifiez et contrôlez/limitez les connexions aux systèmes d'information externes et leur utilisation. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. Cette règle vous permet éventuellement de définir les paramètres blockedPort1 à blockedPort5 (configuration par défaut : 20,21,3389,3306,4333). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| AC.L1-3.1.20 | Vérifiez et contrôlez/limitez les connexions aux systèmes d'information externes et leur utilisation. | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| AC.L1-3.1.20 | Vérifiez et contrôlez/limitez les connexions aux systèmes d'information externes et leur utilisation. | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public au niveau du compartiment. | |
| AC.L1-3.1.20 | Vérifiez et contrôlez/limitez les connexions aux systèmes d'information externes et leur utilisation. | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
| AC.L1-3.1.20 | Vérifiez et contrôlez/limitez les connexions aux systèmes d'information externes et leur utilisation. | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
| AC.L1-3.1.20 | Vérifiez et contrôlez/limitez les connexions aux systèmes d'information externes et leur utilisation. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les SageMaker blocs-notes Amazon ne permettent pas un accès direct à Internet. En empêchant l'accès direct à Internet, vous pouvez empêcher les utilisateurs non autorisés d'accéder à des données sensibles. | |
| AC.L1-3.1.20 | Vérifiez et contrôlez/limitez les connexions aux systèmes d'information externes et leur utilisation. | Assurez-vous que AWS les documents de Systems Manager (SSM) ne sont pas publics, car cela peut permettre un accès involontaire à vos documents SSM. Un document SSM public peut exposer des informations sur votre compte, vos ressources et vos processus internes. | |
| AC.L1-3.1.20 | Vérifiez et contrôlez/limitez les connexions aux systèmes d'information externes et leur utilisation. | Gérez l'accès au AWS cloud en vous assurant qu'aucune adresse IP publique n'est automatiquement attribuée aux sous-réseaux Amazon Virtual Private Cloud (VPC). Les instances Amazon Elastic Compute Cloud (EC2) lancées dans des sous-réseaux pour lesquels cet attribut est activé ont une adresse IP publique attribuée à leur interface réseau principale. | |
| AC.L1-3.1.20 | Vérifiez et contrôlez/limitez les connexions aux systèmes d'information externes et leur utilisation. | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent contribuer à la gestion de l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS La restriction de tout le trafic sur le groupe de sécurité par défaut permet de restreindre l'accès à distance à vos AWS ressources. | |
| AC.L1-3.1.20 | Vérifiez et contrôlez/limitez les connexions aux systèmes d'information externes et leur utilisation. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. En limitant l'accès aux ressources d'un groupe de sécurité depuis Internet (0.0.0.0/0), il est possible de contrôler l'accès à distance aux systèmes internes. | |
| IA.L1-3.5.1 | Identifiez les utilisateurs du système d'information, les processus agissant pour le compte des utilisateurs ou les appareils. | La journalisation d'API Gateway affiche des vues détaillées des utilisateurs qui ont accédé à l'API et de la manière dont ils y ont accédé. Ces informations offrent une visibilité sur les activités des utilisateurs. | |
| IA.L1-3.5.1 | Identifiez les utilisateurs du système d'information, les processus agissant pour le compte des utilisateurs ou les appareils. | La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les Compte AWS informations qui ont accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement. | |
| IA.L1-3.5.1 | Identifiez les utilisateurs du système d'information, les processus agissant pour le compte des utilisateurs ou les appareils. | Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des détails sur l'activité des appels d'API au sein de votre Compte AWS. | |
| IA.L1-3.5.1 | Identifiez les utilisateurs du système d'information, les processus agissant pour le compte des utilisateurs ou les appareils. | L'activité Elastic Load Balancing est un point de communication central au sein d'un environnement. Assurez-vous que la journalisation ELB est activée. Les données collectées fournissent des informations détaillées sur les demandes envoyées à l'ELB. Chaque journal contient des informations comme l'heure à laquelle la demande a été reçue, l'adresse IP du client, les latences, les chemins de demande et les réponses du serveur. | |
| IA.L1-3.5.1 | Identifiez les utilisateurs du système d'information, les processus agissant pour le compte des utilisateurs ou les appareils. | Les autorisations d'accès peuvent être gérées et intégrées selon les principes du moindre privilège et de la séparation des tâches, en activant Kerberos pour les clusters Amazon EMR. Dans Kerberos, les services et utilisateurs qui ont besoin de s'authentifier sont appelés principaux. Les principaux existent au sein d'un domaine Kerberos. Dans le domaine, un serveur Kerberos est connu sous le nom de centre de diffusion des clés (KDC). Il fournit aux principaux un moyen de s'authentifier. Le KDC s'authentifie en émettant des tickets d'authentification. Il gère une base de données des principaux au sein de son domaine, leurs mots de passe, ainsi que d'autres informations administratives sur chaque principal. | |
| IA.L1-3.5.1 | Identifiez les utilisateurs du système d'information, les processus agissant pour le compte des utilisateurs ou les appareils. | AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit. | |
| IA.L1-3.5.1 | Identifiez les utilisateurs du système d'information, les processus agissant pour le compte des utilisateurs ou les appareils. | Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées. | |
| IA.L1-3.5.1 | Identifiez les utilisateurs du système d'information, les processus agissant pour le compte des utilisateurs ou les appareils. | La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant. | |
| IA.L1-3.5.1 | Identifiez les utilisateurs du système d'information, les processus agissant pour le compte des utilisateurs ou les appareils. | Pour faciliter la journalisation et la surveillance au sein de votre environnement, activez la journalisation AWS WAF (V2) sur les ACL Web régionales et mondiales. AWS La journalisation WAF fournit des informations détaillées sur le trafic analysé par votre ACL Web. Les journaux enregistrent l'heure à laquelle AWS WAF a reçu la demande de votre AWS ressource, des informations sur la demande et une action pour la règle à laquelle chaque demande correspondait. | |
| IA.L1-3.5.2 | Authentifiez (ou vérifiez) l'identité de ces utilisateurs, processus ou appareils, comme condition préalable pour autoriser l'accès aux systèmes d'information de l'organisation. | Les autorisations d'accès peuvent être gérées et intégrées selon les principes du moindre privilège et de la séparation des tâches, en activant Kerberos pour les clusters Amazon EMR. Dans Kerberos, les services et utilisateurs qui ont besoin de s'authentifier sont appelés principaux. Les principaux existent au sein d'un domaine Kerberos. Dans le domaine, un serveur Kerberos est connu sous le nom de centre de diffusion des clés (KDC). Il fournit aux principaux un moyen de s'authentifier. Le KDC s'authentifie en émettant des tickets d'authentification. Il gère une base de données des principaux au sein de son domaine, leurs mots de passe, ainsi que d'autres informations administratives sur chaque principal. | |
| IA.L1-3.5.2 | Authentifiez (ou vérifiez) l'identité de ces utilisateurs, processus ou appareils, comme condition préalable pour autoriser l'accès aux systèmes d'information de l'organisation. | Les identités et les informations d'identification sont émises, gérées et vérifiées conformément à une politique de mot de passe IAM organisationnelle. Ils respectent ou dépassent les exigences énoncées par le NIST SP 800-63 et par la norme AWS Foundational Security Best Practices en matière de robustesse des mots de passe. Cette règle vous permet de définir éventuellement RequireUppercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireLowercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireSymbols (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireNumbers (valeur des meilleures pratiques de sécurité de AWS base : vrai), MinimumPasswordLength (valeur des meilleures pratiques de sécurité de AWS base : 14), PasswordReusePrevention (valeur des meilleures pratiques de sécurité de AWS base : 24) et MaxPasswordAge (valeur des meilleures pratiques de sécurité de AWS base : 90) pour votre IAM Politique de mot de passe. Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| IA.L1-3.5.2 | Authentifiez (ou vérifiez) l'identité de ces utilisateurs, processus ou appareils, comme condition préalable pour autoriser l'accès aux systèmes d'information de l'organisation. | Activez cette règle pour restreindre l'accès aux ressources dans le AWS cloud. Cette règle garantit que l'authentification multifactorielle (MFA) est activée pour tous les utilisateurs. La MFA ajoute une couche supplémentaire de protection, en plus des informations d'identification de connexion. Réduisez les incidents de comptes compromis en imposant la MFA aux utilisateurs. | |
| IA.L1-3.5.2 | Authentifiez (ou vérifiez) l'identité de ces utilisateurs, processus ou appareils, comme condition préalable pour autoriser l'accès aux systèmes d'information de l'organisation. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour tous les utilisateurs AWS d'Identity and Access Management (IAM) dotés d'un mot de passe de console. La MFA ajoute une couche supplémentaire de protection, en plus des informations d'identification de connexion. En exigeant la MFA pour les utilisateurs, vous pouvez réduire les incidents liés à des comptes compromis et empêcher les utilisateurs non autorisés d'accéder aux données sensibles. | |
| IA.L1-3.5.2 | Authentifiez (ou vérifiez) l'identité de ces utilisateurs, processus ou appareils, comme condition préalable pour autoriser l'accès aux systèmes d'information de l'organisation. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le matériel MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. La MFA ajoute une couche supplémentaire de protection pour les informations d'identification de connexion En exigeant l'authentification MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission. Comptes AWS | |
| IA.L1-3.5.2 | Authentifiez (ou vérifiez) l'identité de ces utilisateurs, processus ou appareils, comme condition préalable pour autoriser l'accès aux systèmes d'information de l'organisation. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. La MFA ajoute une couche supplémentaire de protection pour les informations d'identification de connexion En exigeant l'authentification MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission. Comptes AWS | |
| SC.L1-3.13.1 | Surveillez, contrôlez et protégez les communications de l'organisation (c'est-à-dire les informations transmises ou reçues par les systèmes d'information de l'organisation) aux limites externes et aux principales limites internes des systèmes d'information. | Assurez-vous que vos équilibreurs de charge Elastic Load Balancing (ELB) sont configurés pour ne pas prendre en compte les en-têtes http. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| SC.L1-3.13.1 | Surveillez, contrôlez et protégez les communications de l'organisation (c'est-à-dire les informations transmises ou reçues par les systèmes d'information de l'organisation) aux limites externes et aux principales limites internes des systèmes d'information. | Pour protéger les données en transit, assurez-vous que votre Application Load Balancer redirige automatiquement les requêtes HTTP non chiffrées vers HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| SC.L1-3.13.1 | Surveillez, contrôlez et protégez les communications de l'organisation (c'est-à-dire les informations transmises ou reçues par les systèmes d'information de l'organisation) aux limites externes et aux principales limites internes des systèmes d'information. | Assurez-vous que AWS le WAF est activé sur les Elastic Load Balancers (ELB) pour protéger les applications Web. Un WAF aide à protéger vos applications Web ou API contre les menaces Web courantes. Ces attaques Web peuvent affecter la disponibilité, compromettre la sécurité ou consommer des ressources excessives dans votre environnement. | |
| SC.L1-3.13.1 | Surveillez, contrôlez et protégez les communications de l'organisation (c'est-à-dire les informations transmises ou reçues par les systèmes d'information de l'organisation) aux limites externes et aux principales limites internes des systèmes d'information. | AWS Le WAF vous permet de configurer un ensemble de règles (appelé liste de contrôle d'accès Web (ACL Web)) qui autorisent, bloquent ou comptent les requêtes Web en fonction de règles et de conditions de sécurité Web personnalisables que vous définissez. Assurez-vous que votre étape Amazon API Gateway est associée à une liste ACL Web WAF pour la protéger contre les attaques malveillantes | |
| SC.L1-3.13.1 | Surveillez, contrôlez et protégez les communications de l'organisation (c'est-à-dire les informations transmises ou reçues par les systèmes d'information de l'organisation) aux limites externes et aux principales limites internes des systèmes d'information. | Amazon CloudWatch émet une alerte lorsqu'un indicateur dépasse le seuil pour un certain nombre de périodes d'évaluation. L’alarme réalise une ou plusieurs actions en fonction de la valeur de la métrique ou de l’expression par rapport à un seuil sur un certain nombre de périodes. Cette règle nécessite une valeur pour alarmActionRequired (Config Default : True), insufficientDataAction Required (Config Default : True), okActionRequired (Config Default : False). La valeur réelle doit refléter les actions d'alarme de votre environnement. | |
| SC.L1-3.13.1 | Surveillez, contrôlez et protégez les communications de l'organisation (c'est-à-dire les informations transmises ou reçues par les systèmes d'information de l'organisation) aux limites externes et aux principales limites internes des systèmes d'information. | Gérez l'accès au AWS cloud en vous assurant que les instances de réplication DMS ne sont pas accessibles au public. Les instances de réplication DMS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| SC.L1-3.13.1 | Surveillez, contrôlez et protégez les communications de l'organisation (c'est-à-dire les informations transmises ou reçues par les systèmes d'information de l'organisation) aux limites externes et aux principales limites internes des systèmes d'information. | Gérez l'accès au AWS cloud en vous assurant que les instantanés EBS ne sont pas restaurables publiquement. Les instantanés des volumes EBS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| SC.L1-3.13.1 | Surveillez, contrôlez et protégez les communications de l'organisation (c'est-à-dire les informations transmises ou reçues par les systèmes d'information de l'organisation) aux limites externes et aux principales limites internes des systèmes d'information. | Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch OpenSearch Service (Service) se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine de OpenSearch service au sein d'un Amazon VPC permet une communication sécurisée entre le OpenSearch service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN. | |
| SC.L1-3.13.1 | Surveillez, contrôlez et protégez les communications de l'organisation (c'est-à-dire les informations transmises ou reçues par les systèmes d'information de l'organisation) aux limites externes et aux principales limites internes des systèmes d'information. | Assurez-vous que node-to-node le chiffrement pour Amazon OpenSearch Service est activé. ode-to-node Le chiffrement N active le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (Amazon VPC). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| SC.L1-3.13.1 | Surveillez, contrôlez et protégez les communications de l'organisation (c'est-à-dire les informations transmises ou reçues par les systèmes d'information de l'organisation) aux limites externes et aux principales limites internes des systèmes d'information. | Comme il peut y avoir des données sensibles et pour protéger les données en transit, assurez-vous que le chiffrement est activé pour votre Elastic Load Balancing. Utilisez AWS Certificate Manager pour gérer, fournir et déployer des certificats SSL/TLS publics et privés avec des AWS services et des ressources internes. | |
| SC.L1-3.13.1 | Surveillez, contrôlez et protégez les communications de l'organisation (c'est-à-dire les informations transmises ou reçues par les systèmes d'information de l'organisation) aux limites externes et aux principales limites internes des systèmes d'information. | Assurez-vous que vos équilibreurs de charge Elastic Load Balancing (ELB) sont configurés avec des écouteurs SSL ou HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| SC.L1-3.13.1 | Surveillez, contrôlez et protégez les communications de l'organisation (c'est-à-dire les informations transmises ou reçues par les systèmes d'information de l'organisation) aux limites externes et aux principales limites internes des systèmes d'information. | Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
| SC.L1-3.13.1 | Surveillez, contrôlez et protégez les communications de l'organisation (c'est-à-dire les informations transmises ou reçues par les systèmes d'information de l'organisation) aux limites externes et aux principales limites internes des systèmes d'information. | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent aider à gérer l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS Ne pas autoriser le trafic entrant (ou distant) de 0.0.0.0/0 vers le port 22 sur vos ressources vous aide à restreindre l'accès à distance. | |
| SC.L1-3.13.1 | Surveillez, contrôlez et protégez les communications de l'organisation (c'est-à-dire les informations transmises ou reçues par les systèmes d'information de l'organisation) aux limites externes et aux principales limites internes des systèmes d'information. | Déployez des instances Amazon Elastic Compute Cloud (Amazon EC2) au sein d'un réseau Amazon Virtual Private Cloud (Amazon VPC) pour permettre une communication sécurisée entre une instance et les autres services au sein du réseau Amazon VPC, sans nécessiter de passerelle Internet, de périphérique NAT ou de connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Attribuez des instances Amazon EC2 à un réseau Amazon VPC pour une gestion correcte des accès. | |
| SC.L1-3.13.1 | Surveillez, contrôlez et protégez les communications de l'organisation (c'est-à-dire les informations transmises ou reçues par les systèmes d'information de l'organisation) aux limites externes et aux principales limites internes des systèmes d'information. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les passerelles Internet ne sont connectées qu'à Amazon Virtual Private Cloud (Amazon VPC) autorisé. Les passerelles Internet permettent un accès bidirectionnel à Internet depuis et vers le réseau Amazon VPC, ce qui peut potentiellement entraîner un accès non autorisé aux ressources Amazon VPC. | |
| SC.L1-3.13.1 | Surveillez, contrôlez et protégez les communications de l'organisation (c'est-à-dire les informations transmises ou reçues par les systèmes d'information de l'organisation) aux limites externes et aux principales limites internes des systèmes d'information. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les fonctions AWS Lambda ne sont pas accessibles au public. Un accès public peut potentiellement entraîner une dégradation de la disponibilité des ressources. | |
| SC.L1-3.13.1 | Surveillez, contrôlez et protégez les communications de l'organisation (c'est-à-dire les informations transmises ou reçues par les systèmes d'information de l'organisation) aux limites externes et aux principales limites internes des systèmes d'information. | Déployez les fonctions AWS Lambda dans un Amazon Virtual Private Cloud (Amazon VPC) pour une communication sécurisée entre une fonction et les autres services au sein d'Amazon VPC. Avec cette configuration, il n'est pas nécessaire d'avoir une passerelle Internet, un périphérique NAT ou une connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Pour gérer correctement l'accès, les fonctions AWS Lambda doivent être attribuées à un VPC. | |
| SC.L1-3.13.1 | Surveillez, contrôlez et protégez les communications de l'organisation (c'est-à-dire les informations transmises ou reçues par les systèmes d'information de l'organisation) aux limites externes et aux principales limites internes des systèmes d'information. | Assurez-vous que les tables de routage Amazon EC2 ne disposent pas de routes illimitées vers une passerelle Internet. La suppression ou la limitation de l'accès à Internet pour les charges de travail au sein des réseaux Amazon VPC peut réduire les accès imprévus au sein de votre environnement. | |
| SC.L1-3.13.1 | Surveillez, contrôlez et protégez les communications de l'organisation (c'est-à-dire les informations transmises ou reçues par les systèmes d'information de l'organisation) aux limites externes et aux principales limites internes des systèmes d'information. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| SC.L1-3.13.1 | Surveillez, contrôlez et protégez les communications de l'organisation (c'est-à-dire les informations transmises ou reçues par les systèmes d'information de l'organisation) aux limites externes et aux principales limites internes des systèmes d'information. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| SC.L1-3.13.1 | Surveillez, contrôlez et protégez les communications de l'organisation (c'est-à-dire les informations transmises ou reçues par les systèmes d'information de l'organisation) aux limites externes et aux principales limites internes des systèmes d'information. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| SC.L1-3.13.1 | Surveillez, contrôlez et protégez les communications de l'organisation (c'est-à-dire les informations transmises ou reçues par les systèmes d'information de l'organisation) aux limites externes et aux principales limites internes des systèmes d'information. | Assurez-vous que vos clusters Amazon Redshift nécessitent un chiffrement TLS/SSL pour se connecter aux clients SQL. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| SC.L1-3.13.1 | Surveillez, contrôlez et protégez les communications de l'organisation (c'est-à-dire les informations transmises ou reçues par les systèmes d'information de l'organisation) aux limites externes et aux principales limites internes des systèmes d'information. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. Cette règle vous permet éventuellement de définir les paramètres blockedPort1 à blockedPort5 (configuration par défaut : 20,21,3389,3306,4333). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| SC.L1-3.13.1 | Surveillez, contrôlez et protégez les communications de l'organisation (c'est-à-dire les informations transmises ou reçues par les systèmes d'information de l'organisation) aux limites externes et aux principales limites internes des systèmes d'information. | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| SC.L1-3.13.1 | Surveillez, contrôlez et protégez les communications de l'organisation (c'est-à-dire les informations transmises ou reçues par les systèmes d'information de l'organisation) aux limites externes et aux principales limites internes des systèmes d'information. | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public au niveau du compartiment. | |
| SC.L1-3.13.1 | Surveillez, contrôlez et protégez les communications de l'organisation (c'est-à-dire les informations transmises ou reçues par les systèmes d'information de l'organisation) aux limites externes et aux principales limites internes des systèmes d'information. | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
| SC.L1-3.13.1 | Surveillez, contrôlez et protégez les communications de l'organisation (c'est-à-dire les informations transmises ou reçues par les systèmes d'information de l'organisation) aux limites externes et aux principales limites internes des systèmes d'information. | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
| SC.L1-3.13.1 | Surveillez, contrôlez et protégez les communications de l'organisation (c'est-à-dire les informations transmises ou reçues par les systèmes d'information de l'organisation) aux limites externes et aux principales limites internes des systèmes d'information. | Pour protéger les données en transit, assurez-vous que vos compartiments Amazon Simple Storage Service (Amazon S3) exigent que les demandes utilisent Secure Socket Layer (SSL). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| SC.L1-3.13.1 | Surveillez, contrôlez et protégez les communications de l'organisation (c'est-à-dire les informations transmises ou reçues par les systèmes d'information de l'organisation) aux limites externes et aux principales limites internes des systèmes d'information. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les SageMaker blocs-notes Amazon ne permettent pas un accès direct à Internet. En empêchant l'accès direct à Internet, vous pouvez empêcher les utilisateurs non autorisés d'accéder à des données sensibles. | |
| SC.L1-3.13.1 | Surveillez, contrôlez et protégez les communications de l'organisation (c'est-à-dire les informations transmises ou reçues par les systèmes d'information de l'organisation) aux limites externes et aux principales limites internes des systèmes d'information. | AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que des solutions partenaires. AWS | |
| SC.L1-3.13.1 | Surveillez, contrôlez et protégez les communications de l'organisation (c'est-à-dire les informations transmises ou reçues par les systèmes d'information de l'organisation) aux limites externes et aux principales limites internes des systèmes d'information. | Assurez-vous que AWS les documents de Systems Manager (SSM) ne sont pas publics, car cela peut permettre un accès involontaire à vos documents SSM. Un document SSM public peut exposer des informations sur votre compte, vos ressources et vos processus internes. | |
| SC.L1-3.13.1 | Surveillez, contrôlez et protégez les communications de l'organisation (c'est-à-dire les informations transmises ou reçues par les systèmes d'information de l'organisation) aux limites externes et aux principales limites internes des systèmes d'information. | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent contribuer à la gestion de l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS La restriction de tout le trafic sur le groupe de sécurité par défaut permet de restreindre l'accès à distance à vos AWS ressources. | |
| SC.L1-3.13.1 | Surveillez, contrôlez et protégez les communications de l'organisation (c'est-à-dire les informations transmises ou reçues par les systèmes d'information de l'organisation) aux limites externes et aux principales limites internes des systèmes d'information. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. En limitant l'accès aux ressources d'un groupe de sécurité depuis Internet (0.0.0.0/0), il est possible de contrôler l'accès à distance aux systèmes internes. | |
| SC.L1-3.13.1 | Surveillez, contrôlez et protégez les communications de l'organisation (c'est-à-dire les informations transmises ou reçues par les systèmes d'information de l'organisation) aux limites externes et aux principales limites internes des systèmes d'information. | Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch Service se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine Amazon OpenSearch Service au sein d'un Amazon VPC permet une communication sécurisée entre Amazon OpenSearch Service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN. | |
| SC.L1-3.13.1 | Surveillez, contrôlez et protégez les communications de l'organisation (c'est-à-dire les informations transmises ou reçues par les systèmes d'information de l'organisation) aux limites externes et aux principales limites internes des systèmes d'information. | Assurez-vous que node-to-node le chiffrement pour Amazon OpenSearch Service est activé. ode-to-node Le chiffrement N active le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (Amazon VPC). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| SI.L1-3.14.1 | Identifiez, signalez et corrigez les informations et les failles du système d'information en temps opportun. | Amazon CloudWatch émet une alerte lorsqu'un indicateur dépasse le seuil pour un certain nombre de périodes d'évaluation. L’alarme réalise une ou plusieurs actions en fonction de la valeur de la métrique ou de l’expression par rapport à un seuil sur un certain nombre de périodes. Cette règle nécessite une valeur pour alarmActionRequired (Config Default : True), insufficientDataAction Required (Config Default : True), okActionRequired (Config Default : False). La valeur réelle doit refléter les actions d'alarme de votre environnement. | |
| SI.L1-3.14.1 | Identifiez, signalez et corrigez les informations et les failles du système d'information en temps opportun. | Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
| SI.L1-3.14.1 | Identifiez, signalez et corrigez les informations et les failles du système d'information en temps opportun. | AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que des solutions partenaires. AWS | |
| SI.L1-3.14.2 | Assurez la protection contre les codes malveillants aux endroits appropriés dans les systèmes d'information de l'organisation. | Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
| SI.L1-3.14.5 | Effectuez des analyses périodiques du système d'information et des analyses en temps réel des fichiers provenant de sources externes au fur et à mesure du téléchargement, de l'ouverture ou de l'exécution de fichiers. | La numérisation d'images Amazon Elastic Container Repository (ECR) permet d'identifier les vulnérabilités logicielles dans vos images de conteneur. L'activation de la numérisation d'images dans les référentiels ECR ajoute une couche de vérification de l'intégrité et de la sécurité des images stockées. |
Modèle
Le modèle est disponible sur GitHub : Operational Best Practices for CMMC 2.0 Level 1
